Michael Fisher
0 
4518
502
Veliki smo obožavatelji upravitelja lozinki Kako se upravitelji lozinki čuvaju zaporke kako menadžeri lozinki čuvaju sigurne lozinke teško je zapamtiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. ovdje na MakeUseOf. Olakšavaju vam život, ubrzavaju mnoge procese i poboljšavaju vašu sigurnost. Ali također vaše osjetljive podatke o zaporkama koncentriraju na jednom mjestu - a to može biti opasno.
Dokazan slučaj: OneLogin, proizvođač aplikacije za jedinstveno prijavljivanje i upravljanje lozinkom na razini poduzeća, hakiran je 31. svibnja 2017. I to je zaista loša vijest. Evo što se dogodilo, što biste trebali učiniti i neke lekcije koje bismo mogli naučiti.
Što se dogodilo na OneLoginu?
Evo što kaže OneLogin:
“... akter prijetnji koristio je jedan od naših AWS ključeva kako bi dobio pristup našoj AWS platformi putem API-ja posredničkog domaćina s drugim, manjim pružateljem usluga u SAD-u ... ”
Što to znači? To znači da je netko pregledavao osjetljive podatke OneLogina. I dok je velik dio tih podataka šifriran, OneLogin vjeruje da su napadači uspjeli dešifrirati barem dio podataka.
Čim su OneLogin tehničari otkrili upad, zatvorili su sustav koji je bio infiltriran. Nažalost, prijavljeno je da upad nisu otkrili tek sedam sati nakon što su ga započeli. Treba dugo pokucati kroz osjetljive podatke.
Kakve bi podatke napadači mogli imati pristup?
“Akter prijetnji mogao je pristupiti tablicama baza podataka koje sadrže informacije o korisnicima, aplikacijama i raznim vrstama tipki.”
Iako nije jasno koji je točno opseg tog popisa, definitivno je puno osjetljivih stvari.
Njihova zasluga, OneLogin je bio vrlo iskren u vezi s ovim incidentom. Na svom su mjestu držali ažurirani post na blogu, komunicirali s kupcima o napadu i davali savjete što učiniti. Za sada nema naznaka da je tvrtka zatajila što se dogodilo. (Iako su možda donekle umanjili ozbiljnost napada.)
Što biste trebali učiniti ako koristite OneLogin
OneLogin je brzo objavio vodič koji će pomoći korisnicima da ublaže bilo kakve efekte napada (Registar također je objavio ovaj popis za ne-kupce). Popis uključuje resetiranje zaporki, nove tokene za provjeru autentičnosti, uklanjanje sigurnih bilješki i niz drugih tehničkih prijedloga na razini administratora.
Ako ste korisnik OneLogina, očigledan postupak je mnogo jednostavniji: promijenite zaporke i ažurirajte žetone provjere autentičnosti. Proći će neko vrijeme, ali vrijedi to učiniti, jer postoji vrlo dobra šansa da netko ima pristup svemu što ste pohranili na vašem računu. Promijenite glavnu lozinku, promijenite lozinke za svoje aplikacije, promijenite sve što ste pohranili u OneLogin.
I smeti svoje sigurne bilješke.
Da, to će sisati. Ali to će sisati puno manje nego da je napadač preuzeo neku od vaših važnih usluga (ili, što je još gore, zadržane za otkupninu).
Što možemo naučiti od OneLogin haka
Prva i najviše zabrinjavajuća lekcija je jasna: tvrtke s jednom prijavom (SSO) i tvrtke za upravljanje lozinkom nisu imune na sigurnosne prijetnje. Te tvrtke znaju da je sigurnost njihovim kupcima sigurnost i da posjeduju ogromnu količinu vrijednih informacija.
Ali loše se događaju. U ovom slučaju potječu API ključevi koji su napadačima dali pristup OneLogin-u “od posredničkog domaćina kod drugog, manjeg davatelja usluga u SAD-u.” Unatoč posvećenosti OneLogina sigurnosti, nedostaci druge tvrtke možda su pustili napadače.
Nažalost, niti jedna tvrtka nije zaštićena od hakova. Upravljanje lozinkom i SSO tvrtke vrlo ozbiljno shvaćaju sigurnost i obično je čine dobar posao. Ali to se trebalo dogoditi.
Ako idete naprijed, što možete učiniti? Evo nekoliko stvari koje morate imati na umu pri korištenju ove vrste usluga.
Spremanje svega na jednom mjestu je loša ideja
Očito ćete zadržati zaporke u aplikaciji za upravljanje lozinkom. Ali treba li biti spremište za svi vaših osjetljivih podataka? Možda ne.
Jednostavno je koristiti LastPass-ove sigurne bilješke, na primjer, za čuvanje podataka o vašem bankovnom računu ili zaporke za kućni Wi-Fi. Ali ako vam se ta usluga pokvari, sada gledate na još više problema. Možda su već pohranjeni podaci o vašoj kreditnoj kartici. Ipak ako dodate još nekoliko ključnih informacija 10 informacija koje se koriste za krađu vašeg identiteta 10 informacija koje se koriste za krađu vašeg identiteta Prema američkom uredu pravde, krađa identiteta koštala je žrtve preko 24 milijarde dolara u 2012. godini , više od provale u domaćinstvo, krađe motora i imovine. Ovih 10 podataka su ono što lopovi traže ..., krađa identiteta postaje mnogo lakša.
Razmislite o upotrebi druge šifrirane usluge koja ne pohranjuje informacije u oblak, poput SplashID-a, ili samo šifriranje i zaštitite lozinku mapu na računalu Kako zaštititi mapu u sustavu Windows Kako zaštititi mapu u sustavu Windows Kako zaštititi mapu u sustavu Windows Trebate zadržati Windows mapa privatna? Evo nekoliko metoda pomoću kojih možete zaštititi datoteke lozinkom na računalu sa sustavom Windows 10. , Nešto je manje zgodan, ali može značajno smanjiti poteškoće u slučaju kršenja.
Razmislite dvaput o pojedinačnoj prijavi
SSO je sjajan jer štedi tonu vremena i vaše lozinke svode na minimum. OpenID, prijava s vjerodajnicama društvene mreže Pomoću društvene prijave? Poduzmite ove korake za osiguranje računa pomoću društvene prijave? Poduzmite ove korake za osiguranje računa Ako koristite uslugu društvene prijave (kao što je Google ili Facebook), možda mislite da je sve sigurno. Nije tako - vrijeme je da pogledate slabosti društvenih podataka. i druge slične metode prilično su popularne. (Da budem potpuno iskren, i sam ih koristim.)
Sigurnija opcija je jednostavno otvaranje računa s adresom e-pošte za svaku web lokaciju. Ako koristite upravitelj lozinki, to je jednostavno. Nije baš tako lako kao OAuth ili slična prijava jednim klikom, ali definitivno je sigurnija koliko su milijuni aplikacija ranjivi na jedan sigurnosni hack koliko su milijuni aplikacija ranjivi na jedan sigurnosni hack OAuth je otvoreni standard koji se koristi za omogućavaju vam da se prijavite na aplikaciju ili web mjesto treće strane upotrebom Facebooka, Twittera ili Google računa - a ranjiv je na hakere. .
Da bi bili pošteni, neki ljudi potiču upotrebu jedinstvene prijave kao sigurnosne prakse. Odmjerite svoje mogućnosti.
Na važnim uslugama koristite dvofaktorsku provjeru identiteta
Nebrojeno puta smo razgovarali o provjeri autentičnosti s dva faktora, ali ako s njom niste upoznati, pročitajte sve o tome Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristiti Što je dvofaktorska provjera autentičnosti i zašto biste trebali Use it Dvofaktorska provjera autentičnosti (2FA) sigurnosna je metoda koja zahtijeva dva različita načina dokazivanja vašeg identiteta. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu,… i naučite koje usluge mogu upotrebljavati. Zaključajte ove usluge sada pomoću dvofaktorne provjere autentičnosti zaključajte ove usluge sada s dvofaktornom provjerom autentičnosti Dvofaktorska provjera identiteta je pametan način da zaštitite svoje mrežne račune. Pogledajmo nekoliko usluga koje možete zaključati uz bolju sigurnost. , Zatim ga uključite.
Za koje usluge trebate koristiti dvofaktornu provjeru autentičnosti? Ukratko, onoliko koliko možete. Vaše bi najvažnije usluge, poput e-pošte, bankarstva i pohrane u oblaku, svakako trebale biti zaštićene. Sve drugo je bonus. Učini to sada.
Ostanite oštri
Korisnici OneLogina naučili su tešku lekciju: nijedna usluga nije 100 posto sigurna. Ovo je bio posebno oštar način da naučimo ovu lekciju, ali dugoročno gledano, možda je to najbolje. Ako ste korisnik OneLogina, trebali biste se zauzeti za prikupljanje komada. Ako niste, smatrajte se sretnom i poduzmite korake kako biste bili sigurni da vam se to ne dogodi.
Je li vas utjecao haker OneLogin? Znači li vas dvaput razmišljati o upraviteljima lozinki ili aplikacijama za jednu prijavu? Podijelite svoje misli u komentarima u nastavku!