OneLogin-hacket var alvorligt, og det lærte os en lektion

  • William Charles
  • 0
  • 4808
  • 1182
Reklame

Vi er store tilhængere af adgangskodeadministratorer. Hvordan adgangskodeadministratorer holder dine adgangskoder sikre. Hvordan adgangskodeadministratorerne holder dine adgangskoder sikre. Adgangskoder, der er svære at knække, er også svære at huske. Vil du være sikker? Du har brug for en adgangskodemanager. Her er, hvordan de fungerer, og hvordan de holder dig i sikkerhed. her på MakeUseOf. De gør dit liv lettere, fremskynder en masse processer og forbedrer din sikkerhed. Men de koncentrerer også dine følsomme adgangskodeoplysninger et enkelt sted - og det kan være farligt.

Tilfælde: OneLogin, producenten af ​​en enkelt tilmeldings- og adgangskodeadministrations-app på virksomhedsniveau, blev hacket den 31. maj 2017. Og det er virkelig dårlige nyheder. Her er hvad der skete, hvad du skulle gøre, og nogle lektioner, vi kan lære.

Hvad der skete med OneLogin?

Her er hvad OneLogin siger:

“… En trusselsaktør brugte en af ​​vores AWS-nøgler til at få adgang til vores AWS-platform via API fra en mellemhost med en anden, mindre tjenesteudbyder i USA ... ”

Hvad betyder det? Det betyder, at nogen kiggede gennem OneLogins følsomme data. Og selvom meget af disse data er krypteret, mener OneLogin, at angriberen var i stand til at dekryptere mindst nogle af dataene.

Så snart OneLogin-teknikere opdagede indtrængen, lukkede de systemerne, der var infiltreret. Desværre er det rapporteret, at de ikke opdagede indtrængen før syv timer efter, at den startede. Det er længe at gå gennem følsomme data.

Hvilken slags data kunne angriberen have haft adgang til?

“Trusselaktøren kunne få adgang til databasetabeller, der indeholder oplysninger om brugere, apps og forskellige typer nøgler.”

Selvom det er uklart, præcist hvad rækkevidden af ​​denne liste er, er det bestemt en masse følsomme ting.

Som deres ære har OneLogin været meget direkte på denne hændelse. De har opbevaret et opdateret blogindlæg på deres side, kommunikeret med kunderne om angrebet og givet råd om, hvad de skal gøre. Der er indtil videre ingen indikation af, at virksomheden har tilsløret hvad der skete. (Selvom de måske har bagatelliseret alvoret i angrebet noget.)

Hvad du skal gøre, hvis du bruger OneLogin

OneLogin frigav hurtigt en guide til at hjælpe brugere med at afbøde eventuelle effekter af angrebet (Registeret har også lagt denne liste til ikke-kunder). Listen inkluderer nulstilling af adgangskode, nye godkendelsesmærker, slippe af med sikre noter og en række andre tekniske forslag på administrator-niveau.

Hvis du dog er en bruger af OneLogin, er det åbenlyse handlingsforløb meget enklere: ændre dine adgangskoder og opdater dine godkendelsesmærker. Det vil tage et stykke tid, men det er værd at gøre, fordi der er en meget god chance for, at nogen har adgang til alt, hvad du har gemt på din konto. Skift din hovedadgangskode, skift adgangskoder til dine apps, skift alt, hvad du gemte i OneLogin.

Og affald dine sikre noter.

Ja, det vil sutte. Men det kommer til at sutte meget mindre end at få en af ​​dine vigtige tjenester overtaget af en angriber (eller, måske værre, holdt for løsepenge).

Hvad vi kan lære af OneLogin Hack

Den første og mest foruroligende lektion er klar: SSO-virksomheder (single sign-on) og adgangskodeadministration er ikke immun mod sikkerhedstrusler. Disse virksomheder ved, at sikkerhed er en stor aftale for deres kunder, og at de har en enorm mængde værdifuld information.

Men dårlige ting sker. I dette tilfælde stammer API-nøglerne, der gav angriberne adgang til OneLogin “fra en mellemhost hos en anden, mindre tjenesteudbyder i U.S.A..” På trods af OneLogins dedikation til sikkerhed, kan et andet selskabs mangler have lader angribere komme ind.

Desværre er intet firma hackfast. Adgangskodestyring og SSO-virksomheder tager sikkerhed meget alvorligt og gør generelt et godt stykke arbejde for det. Men dette skulle helt sikkert ske.

Fremad, hvad kan du gøre? Her er et par ting, du skal huske på, når du bruger disse typer tjenester.

Opbevaring af alt på ét sted er en dårlig idé

Det er klart, at du vil opbevare dine adgangskoder i din adgangskodestyrings-app. Men skulle det være depotet til alle af dine følsomme oplysninger? Måske ikke.

Det er nemt at bruge LastPasss sikre noter, for eksempel for at opbevare dine bankkontooplysninger eller dit Wi-Fi-adgangskode til hjemmet. Men hvis denne service bliver hacket, ser du nu på endnu flere problemer. Du har muligvis allerede gemt dine kreditkortoplysninger. Men hvis du tilføjer et par flere centrale oplysninger 10 stykker oplysninger, der bruges til at stjæle din identitet 10 stykker oplysninger, der bruges til at stjæle din identitet Ifølge US Bureau of Justice koster identitetstyveri ofre over 24 milliarder dollars i 2012 , mere end husholdningsindbrud, motor og tyveri af ejendom kombineret. Disse 10 oplysninger er, som tyve ser… identitetstyveri bliver meget lettere.

Overvej at bruge en anden krypteret tjeneste, der ikke gemmer information i skyen, som SplashID, eller bare kryptere og kodeordbeskytte en mappe på din computer Sådan gemmes en adgangskode til en mappe i Windows Sådan gemmes en adgangskode til at beskytte en mappe i Windows Brug af et Windows mappe privat? Her er et par metoder, du kan bruge til at beskytte dine filer på en Windows 10-pc med adgangskode. . Det er lidt mindre praktisk, men det kan reducere sværhedsgraden markant i tilfælde af et brud.

Tænk to gange på single sign-on

SSO er fantastisk, fordi det sparer masser af tid og holder dine adgangskoder til et minimum. OpenID, log ind med sociale netværksoplysninger Brug af social login? Tag disse trin for at sikre dine konti ved hjælp af social login? Tag disse trin for at sikre dine konti Hvis du bruger en social login-service (som Google eller Facebook), kan du måske tro, at alt er sikkert. Ikke så - det er på tide at se på svaghederne i sociale logins. , og andre lignende metoder er meget populære. (For at være helt ærlig bruger jeg dem selv.)

Den mere sikre mulighed er blot at åbne en konto med din e-mail-adresse for hvert websted. Hvis du bruger en adgangskodemanager, er dette let. Ikke lige så let som OAuth eller en lignende tilmelding med et enkelt klik, men det er helt sikkert mere sikkert. Hvor millioner af apps er sårbare overfor et enkelt sikkerhedshack Hvordan millioner af apps er sårbare for en enkelt sikkerhedshack OAuth er en åben standard, der bruges til giver dig mulighed for at logge ind på en tredjepart-app eller -websted ved hjælp af en Facebook-, Twitter- eller Google-konto - og det er sårbart overfor hackere. .

For at være retfærdig opfordrer nogle mennesker til brugen af ​​single sign-on som sikkerhedspraksis. Vej dine muligheder.

Brug tofaktorautentisering på vigtige tjenester

Vi har talt om tofaktorautentifikation utallige gange, men hvis du ikke er bekendt med det, skal du læse alt om det Hvad er tofaktorautentisering, og hvorfor du skal bruge det Hvad er tofaktorautentisering, og hvorfor du skal Use It To-factor authentication (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet,… og lær, hvilke tjenester der kan bruge det Lås disse tjenester ned nu med tofaktorautentisering Lås disse tjenester nu med tofaktorauthentificering To-faktor-godkendelse er den smarte måde at beskyt dine online konti. Lad os se på nogle af de tjenester, du kan låse ned med bedre sikkerhed. . Tænd det derefter.

Hvilke tjenester skal du bruge tofaktorautentificering til? Kort sagt, så mange som du kan. Dine vigtigste tjenester, som e-mail, bank og cloud-opbevaring, skal bestemt beskyttes af dem. Alt andet er en bonus. Gør det nu.

Bliv skarp

OneLogin-brugere lærte en hård lektion: ingen service er 100 procent sikker. Dette var en særlig hård måde at lære denne lektie på, men på lang sigt er det muligvis bedst. Hvis du er en OneLogin-bruger, skal du have travlt med at hente brikkerne. Hvis du ikke er det, skal du betragte dig som heldig og tage skridt for at sikre dig, at det ikke sker med dig.

Blev du påvirket af OneLogin-hacket? Får det dig til at tænke to gange om adgangskodeadministratorer eller apps til single sign-on? Del dine tanker i kommentarerne herunder!




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.