Mainos
Olemme suuria faneja salasanan hallinta Kuinka salasanan hallitsijat pitävät salasanasi turvassaSalasanat, joita on vaikea murtaa, on myös vaikea muistaa. Haluatko olla turvassa? Tarvitset salasananhallinnan. Näin he työskentelevät ja kuinka pitävät sinut turvassa. Lue lisää täällä MakeUseOf. Ne helpottavat elämääsi, nopeuttavat paljon prosesseja ja parantavat turvallisuutta. Mutta he myös keskittävät arkaluontoiset salasanatiedot yhteen paikkaan - ja se voi olla vaarallista.
Esimerkki: OneLogin, yritystason kertakirjautumisen ja salasanan hallintasovelluksen tuottaja, hakkeroitiin 31. toukokuuta 2017. Ja se on todella huono uutinen. Tässä on mitä tapahtui, mitä sinun pitäisi tehdä, ja joitain opit, jotka voimme oppia.
Mitä tapahtui OneLoginissa?
Tässä on mitä OneLogin sanoo:
"… Uhkailija käytti yhtä AWS-avaimista päästäksemme AWS-alustallemme API: n kautta välipalvelimesta toisen, pienemmän palveluntarjoajan kanssa Yhdysvalloissa ..."
Mitä tuo tarkoittaa? Se tarkoittaa, että joku tarkasteli OneLoginin arkaluontoisia tietoja. Ja vaikka suuri osa tiedoista on salattuja, OneLogin uskoo, että hyökkääjät pystyivät salaamaan ainakin osan tiedoista.
Heti kun OneLogin-tekniikka havaitsi tunkeutumisen, he sulkivat solutut järjestelmät. Valitettavasti on ilmoitettu, että he havaitsivat tunkeutumisen vasta seitsemän tunnin kuluttua sen alkamisesta. Se on pitkä aika selata arkaluontoisia tietoja.
Millaisiin tietoihin hyökkääjät ovat saaneet pääsyn?
"Uhkailija pystyi pääsemään tietokantataulukoihin, jotka sisältävät tietoja käyttäjistä, sovelluksista ja erityyppisistä avaimista."
Vaikka on epäselvää, mikä luettelon laajuus on, se on ehdottomasti paljon arkaluontoisia juttuja.
Heidän ansiokseen OneLogin on ollut erittäin suoraviivainen tästä tapauksesta. He ovat pitäneet päivitetty blogiviesti heidän sivustollaan, kommunikoinut asiakkaiden kanssa hyökkäyksestä ja neuvonut mitä tehdä. Toistaiseksi ei ole mitään viitteitä siitä, että yritys olisi hämärtänyt tapahtumia. (Vaikka he saattoivat vähentää hyökkäyksen vakavuutta jonkin verran.)
Mitä sinun pitäisi tehdä, jos käytät OneLoginia
OneLogin julkaisi nopeasti oppaan, jonka avulla käyttäjät voivat lieventää hyökkäyksen vaikutuksia (Rekisteri myös postitti tämän luettelon muille kuin asiakkaille). Luettelo sisältää salasanan palautukset, uudet todennuskehykset, suojattujen muistiinpanojen poistamisen ja useita muita teknisiä, järjestelmänvalvojan tason ehdotuksia.
Jos kuitenkin käytät OneLogin-palvelua, ilmeinen toimintatapa on paljon yksinkertaisempi: vaihda salasanasi ja päivitä todennustunnisteet. Se vie hetken, mutta se on tekemisen arvoinen, koska on erittäin hyvä mahdollisuus, että joku käyttää kaikkia tilillesi tallentamiasi tietoja. Vaihda pääsalasana, vaihda sovellustesi salasanat, muuta kaikki OneLogin-sovellukseen tallentamasi.
Roskakori turvalliset muistiinpanosi.
Kyllä, se tulee imemään. Mutta se imee paljon vähemmän kuin se, että hyökkääjä ottaa haltuunsa yhden tärkeistä palveluistasi (tai mikä pahempaa, pidetään lunnaana).
Mitä voimme oppia OneLogin-hakkeroinnista
Ensimmäinen ja huolestuttavin oppitunti on selvä: kertakirjautumis- ja salasananhallintayritykset eivät ole immuuneja tietoturvauhille. Nämä yritykset tietävät, että turvallisuus on iso asia heidän asiakkailleen ja että heillä on valtava määrä arvokasta tietoa.
Mutta tapahtuu huonoja asioita. Tässä tapauksessa API-avaimet, jotka antoivat hyökkääjille pääsyn OneLoginiin, olivat peräisin ”välipalvelimesta toisella, pienemmällä palveluntarjoaja Yhdysvalloissa. " Huolimatta OneLoginin omistautumisesta turvallisuuteen, toisen yrityksen puutteet ovat saattaneet antaa hyökkääjien päästä sisään.
Valitettavasti yksikään yritys ei ole hakkeroitu. Salasanan hallinta ja SSO-yritykset ottavat tietoturvan erittäin vakavasti ja tekevät siitä yleensä hyvää työtä. Mutta niin tapahtui.
Mitä voit tehdä? Tässä on muutama mielessä pidettävä asia, kun käytetään tällaisia palveluita.
Kaikkien säilyttäminen yhdessä paikassa on huono idea
On selvää, että aiot pitää salasanasi salasanojen hallintasovelluksessa. Mutta pitäisikö sen olla kaikki arkaluontoisesta tiedostasi? Ehkä ei.
LastPassin suojattuja muistiinpanoja on helppo käyttää esimerkiksi pankkitilitietojesi tai kodin Wi-Fi-salasanan säilyttämiseen. Mutta jos palveluun hakkeroidaan, tarkastelet nyt vielä enemmän ongelmia. Saatat olla jo tallentanut luottokorttitietosi. Mutta jos lisäät muutama tärkeä tieto 10 kappaletta tietoa, jota käytetään henkilöllisyytesi varastamiseenHenkilöllisyysvarkaudet voivat olla kalliita. Tässä on 10 tietoa, joita sinun on suojattava, jotta henkilöllisyyttäsi ei varastettaisi. Lue lisää , henkilöllisyysvarkauksista tulee paljon helpompaa.
Harkitse muun salatun palvelun käyttöä, joka ei esimerkiksi tallenna tietoja pilveen SplashID, tai vain salaa ja suojaa salasanalla tietokoneesi kansio Kuinka suojata kansio salasanalla WindowsissaPitäisikö Windows-kansion pitää yksityisenä? Tässä on muutama tapa, jolla voit suojata tiedostoja salasanalla Windows 10 -tietokoneella. Lue lisää . Se on hieman vähemmän kätevä, mutta se voi vähentää huomattavasti vaikeuksien määrää rikkomusten yhteydessä.
Ajattele kahdesti kertakirjautumista
SSO on hieno, koska se säästää paljon aikaa ja pitää salasanasi minimissä. OpenID, kirjautuminen sisään sosiaalisen verkoston käyttöoikeustiedoilla Käytätkö sosiaalista kirjautumista? Suorita nämä vaiheet tilien suojaamiseksiJos käytät sosiaalista kirjautumispalvelua (kuten Google tai Facebook), saatat ajatella, että kaikki on turvassa. Ei niin - on aika katsoa sosiaalisten kirjautumisten heikkouksia. Lue lisää , ja muut vastaavat menetelmät ovat melko suosittuja. (Ollakseni täysin rehellinen, käytän näitä itse.)
Turvallisempi vaihtoehto on yksinkertaisesti avata tili sähköpostiosoitteellasi jokaiselle sivustolle. Jos käytät salasananhallintaa, tämä on helppoa. Ei niin helppoa kuin OAuth tai vastaava yhden napsautuksen sisäänkirjautuminen, mutta se on ehdottomasti turvallisempaa Kuinka miljoonat sovellukset ovat haavoittuvia yhdelle tietoturvahakeilleOAuth on avoin standardi, jonka avulla voit kirjautua sisään kolmannen osapuolen sovellukseen tai verkkosivustoon käyttämällä Facebook-, Twitter- tai Google-tiliä - ja se on alttiina hakkereille. Lue lisää .
Oikeudenmukaisuuden vuoksi jotkut ihmiset rohkaisevat kertakirjautumisen käyttöä turvakäytäntönä. Punnitse vaihtoehtosi.
Käytä kaksifaktorista todennusta tärkeissä palveluissa
Olemme puhuneet lukemattomia kertoja kaksifaktorisesta todennuksesta, mutta jos et tunne sitä, Lue kaikki siitä Mikä on kaksifaktorinen todennus ja miksi sinun pitäisi käyttää sitäKaksifaktorinen todennus (2FA) on tietoturvamenetelmä, joka edellyttää kahta eri tapaa todistaa henkilöllisyytesi. Sitä käytetään yleisesti arjessa. Esimerkiksi luottokortilla maksaminen ei edellytä vain korttia, ... Lue lisää ja oppia mitkä palvelut voivat käyttää sitä Lukitse nämä palvelut nyt kaksifaktorisella todennuksellaKaksikerroinen todennus on fiksu tapa suojata online-tilejäsi. Katsotaanpa muutamia palveluita, jotka voit lukita turvallisuuden parantamiseksi. Lue lisää . Kytke sitten se päälle.
Mihin palveluihin sinun tulisi käyttää kaksifaktorista todennusta? Lyhyesti sanottuna niin monta kuin pystyt. Tärkeimmät palvelut, kuten sähköposti, pankkitoiminta ja pilvitallennus, pitäisi ehdottomasti suojata sillä. Kaikki muu on bonus. Tee se nyt.
Pysyä terävänä
OneLogin-käyttäjät oppivat kovan oppitunnin: yksikään palvelu ei ole sataprosenttisesti turvallinen. Tämä oli erityisen ankara tapa oppia tämä oppitunti, mutta pitkällä tähtäimellä se saattaa olla paras. Jos käytät OneLogin-käyttäjää, sinun tulee kiireisesti ottaa kappaleita vastaan. Jos et ole, pidä itsesi onnekkaana ja varmista, että sitä ei tapahdu sinulle.
Koskiko OneLogin-hakkerointi sinua? Saako se ajattelemaan kahdesti salasananhallintaa tai kertakirjautumissovelluksia? Jaa ajatuksesi alla olevissa kommenteissa!
Dann on sisältöstrategia ja markkinointikonsultti, joka auttaa yrityksiä luomaan kysyntää ja johtaa. Hän myös blogeja strategia- ja sisältömarkkinoinnista osoitteessa dannalbright.com.