OneLogin Hack var alvorlig og det lærte oss en leksjon
Vi er store fans av passordforvaltere Hvordan passordadministratorer holder passordene dine sikre Hvordan passordadministratorer holder passordene dine Passord som er vanskelig å knekke, er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygge. Les mer her på MakeUseOf. De gjør livet ditt lettere, fremskynder mange prosesser, og forbedrer sikkerheten din. Men de konsentrerer også din sensitive passordinformasjon på et enkelt sted - og det kan være farlig.
Tilfelle i punkt: OneLogin, produsent av en bedriftsadministrasjon for enkelt pålogging og passordbehandling, ble hacket 31. mai 2017. Og det er virkelig dårlige nyheter. Her er hva som skjedde, hva du burde gjøre, og noen leksjoner vi kan lære.
Hva skjedde med OneLogin?
Her er hva OneLogin sier:
“... en trusselactor brukte en av våre AWS-nøkler for å få tilgang til vår AWS-plattform via API fra en mellomliggende vert med en annen, mindre tjenesteleverandør i USA ... ”
Hva betyr det? Det betyr at noen ser gjennom OneLogins sensitive data. Og mens mye av dataene er kryptert, mener OneLogin at angriperne var i stand til å dekryptere minst noen av dataene.
Så snart OneLogin techs oppdaget inntrengningen, lukkede de systemene som ble infiltrert. Dessverre har det blitt rapportert at de ikke oppdaget inntrengningen til syv timer etter at den startet. Det er lang tid å peke gjennom sensitive data.
Hvilke typer data kan angriperne ha hatt tilgang til?
“Trusselskuespilleren var i stand til å få tilgang til databasetabeller som inneholder informasjon om brukere, programmer og ulike typer nøkler.”
Selv om det er uklart nøyaktig hva omfanget av listen er, er det definitivt mange sensitive ting.
Til deres kreditt har OneLogin vært veldig oppriktig om denne hendelsen. De har holdt et oppdatert blogginnlegg på deres nettsted, kommunisert med kundene om angrepet, og gitt råd om hva de skal gjøre. Det er ingen indikasjon så langt at selskapet har forvirret det som skjedde. (Selv om de kanskje har slått ned angrepets alvor alvorlig.)
Hva du bør gjøre hvis du bruker OneLogin
OneLogin ga raskt ut en veiledning for å hjelpe brukerne til å redusere eventuelle effekter av angrepet (Registeret har også postet denne listen for ikke-kunder). Listen inneholder tilbakestilling av passord, nye autentiseringstokener, eliminering av sikre notater, og en rekke andre tekniske, forslag på administratornivå.
Hvis du er en bruker av OneLogin skjønt, er det åpenbare handlingsforløpet mye enklere: endre passordene dine og oppdatere godkjenningstokenene dine. Det kommer til å ta en stund, men det er verdt å gjøre, fordi det er en veldig god sjanse for at noen har tilgang til alt du lagret i kontoen din. Endre hovedpassordet ditt, endre passordene til appene dine, endre alt du lagret i OneLogin.
Og søppel dine sikre notater.
Ja, det kommer til å suge. Men det kommer til å suge mye mindre enn å ha en av dine viktige tjenester tatt over av en angriper (eller, muligens verre, holdt for løsepenger).
Hva vi kan lære fra OneLogin Hack
Den første og mest bekymringsfulle leksjonen er klar: SSO og passordstyringsselskaper er ikke immune mot sikkerhetstrusler. Disse selskapene vet at sikkerhet er en stor avtale for sine kunder, og at de har en stor mengde verdifull informasjon.
Men dårlige ting skjer. I dette tilfellet oppsto API-nøklene som ga angriperne tilgang til OneLogin “fra en mellomliggende vert med en annen, mindre tjenesteleverandør i USA.” Til tross for OneLogins engasjement for sikkerhet, kan et annet selskaps mangler ha gitt angriperne i.
Dessverre er ingen firma hack-proof. Passordadministrasjon og SSO-selskaper tar sikkerhet veldig alvorlig, og generelt gjør en god jobb med det. Men dette var bundet til å skje.
Fortsett, hva kan du gjøre? Her er noen ting å huske på når du bruker disse tjenestene.
Lagring av alt på ett sted er en dårlig ide
Åpenbart skal du beholde passordene dine i passordadministrasjonsappen din. Men skal det være oppbevaringsstedet for alle av din sensitive informasjon? Kanskje ikke.
Det er enkelt å bruke LastPass sikre notater, for eksempel å beholde bankkontoinformasjonen eller ditt hjem Wi-Fi-passord. Men hvis den tjenesten blir hacket, ser du nå enda flere problemer. Du kan ha lagret kredittkortinformasjonen din allerede. Likevel, hvis du legger til noen få viktige deler av informasjonen 10 stykker informasjon som brukes til å stjele identiteten din 10 stykker informasjon som brukes til å stjele identiteten din Ifølge det amerikanske justisdepartementet koster identitetstyveri over 24 milliarder dollar i 2012 , mer enn husholdningsinnbrudd, motor og eiendomstyveri kombinert. Disse 10 stykkene av informasjon er hvilke tyver ser ... Les mer, identitetstyveri blir mye lettere.
Overvei å bruke en annen kryptert tjeneste som ikke lagrer informasjon i skyen, som SplashID, eller bare krypter og passordbeskytt en mappe på datamaskinen. Slik passordbeskytt en mappe i Windows Slik passordbeskytt en mappe i Windows Trenger du å beholde en Windows mappe privat? Her er noen metoder du kan bruke til å passordbeskytte filene dine på en Windows 10-PC. Les mer . Det er litt mindre praktisk, men det kan redusere mengden av problemer ved brudd.
Tenk to ganger om enkelt pålogging
SSO er bra fordi det sparer massevis av tid og holder passordene dine til et minimum. OpenID, logger deg på med sosialt nettverkskompetanse ved hjelp av sosial pålogging? Ta disse trinnene for å sikre kontoene dine ved hjelp av sosial pålogging? Ta disse trinnene for å sikre dine kontoer Hvis du bruker en sosial påloggingstjeneste (for eksempel Google eller Facebook), kan du tro at alt er sikkert. Ikke så - det er på tide å ta en titt på svakhetene i sosiale innlogginger. Les mer, og andre lignende metoder er ganske populære. (For å være helt ærlig bruker jeg disse selvene.)
Jo sikrere alternativet er å bare åpne en konto med e-postadressen din for hvert nettsted. Hvis du bruker en passordbehandling, er dette enkelt. Ikke like lett som OAuth eller et lignende klikk med én klikk, men det er definitivt sikrere Hvordan millioner av apper er utsatt for en enkelt sikkerhetshack Hvordan millioner av apper er utsatt for en enkelt sikkerhetshack OAuth er en åpen standard som brukes til å Tillat deg å logge på en tredjeparts app eller et nettsted ved hjelp av en Facebook, Twitter eller Google-konto - og den er sårbar for hackere. Les mer .
For å være rettferdig, oppfordrer enkelte mennesker til bruk av single sign-on som en sikkerhetspraksis. Veie alternativene dine.
Bruk tofaktorautentisering på viktige tjenester
Vi har snakket om tofaktorautentisering utallige ganger, men hvis du ikke er kjent med det, les alt om det. Hva er tofaktorautentisering, og hvorfor du bør bruke det Hva er tofaktorautentisering, og hvorfor du bør Bruk det Two-factor authentication (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise din identitet på. Det brukes vanligvis i hverdagen. For eksempel å betale med et kredittkort krever ikke bare kortet, ... Les mer og lær hvilke tjenester som kan bruke det. Lås ned disse tjenestene nå med tofaktorautentisering Lås ned disse tjenestene nå med tofaktorautentisering Tofaktorautentisering er smart måte å beskytte dine elektroniske kontoer på. La oss ta en titt på noen av tjenestene du kan låse ned med bedre sikkerhet. Les mer . Slå deretter den på.
Hvilke tjenester skal du bruke tofaktorautentisering for? Kort sagt, så mange som du kan. De viktigste tjenestene dine, som e-post, bank og skylagring, bør definitivt være beskyttet av det. Alt annet er en bonus. Gjør det nå.
Hold deg skarp
OneLogin-brukere lærte en vanskelig leksjon: ingen tjeneste er 100 prosent sikker. Dette var en spesielt hard måte å lære denne leksjonen på, men i det lange løp kan det være for de beste. Hvis du er en OneLogin-bruker, bør du bli opptatt med å plukke opp brikkene. Hvis du ikke er, vurder deg selv heldig, og gjør noe for å sikre at det ikke skjer med deg.
Ble du påvirket av OneLogin hack? Gjør det deg tenke to ganger om passordbehandlere eller enkelt påloggingsprogrammer? Del dine tanker i kommentarene nedenfor!
Les mer om: Passordbehandling.