„OneLogin Hack“ buvo rimtas ir mums tai išmokė pamoką

Skelbimas

Mes esame dideli gerbėjai slaptažodžių tvarkytojai Kaip slaptažodžių valdytojai saugo jūsų slaptažodžiusTaip pat sunku įsiminti slaptažodžius. Nori būti saugus? Jums reikia slaptažodžio tvarkyklės. Štai kaip jie dirba ir kaip saugo jus. Skaityti daugiau čia „MakeUseOf“. Jie palengvina jūsų gyvenimą, pagreitina daugybę procesų ir pagerina jūsų saugumą. Jie taip pat sukoncentruoja jūsų slaptą slaptažodžių informaciją vienoje vietoje - ir tai gali būti pavojinga.

Pavyzdys: „OneLogin“, įmonės lygio vienkartinio prisijungimo ir slaptažodžių tvarkymo programos gamintoja, buvo nulaužta 2017 m. Gegužės 31 d. Ir tai tikrai bloga žinia. Štai, kas nutiko, ką turėtumėte padaryti, ir kelių pamokų, kurias galime išmokti.

Kas nutiko „OneLogin“?

Štai ką sako „OneLogin“:

„... grėsmės veikėjas pasinaudojo vienu iš mūsų AWS raktų, kad per tarpinį pagrindinį kompiuterį galėtų pasiekti mūsų AWS platformą per API iš kito, mažesnio paslaugų teikėjo JAV ...“

Ką tai reiškia? Tai reiškia, kad kažkas ieškojo neskelbtinų „OneLogin“ duomenų. Ir nors didžioji dalis tų duomenų yra užšifruota, „OneLogin“ tiki, kad užpuolikai sugebėjo iššifruoti bent dalį duomenų.

Kai tik „OneLogin“ technikai aptiko įsilaužimą, jie išjungė įsiskverbtas sistemas. Deja, buvo pranešta, kad jie aptiko įsilaužimą tik septynias valandas nuo jo pradžios. Tai yra ilgas laiko tarpas, kad galėčiau slapti duomenys.

Kokius duomenis užpuolikai galėjo turėti?

„Grėsmių vykdytojas galėjo pasiekti duomenų bazių lenteles, kuriose yra informacijos apie vartotojus, programas ir įvairių tipų raktus“.

Nors neaišku, kokia yra šio sąrašo taikymo sritis, tai tikrai yra daug neskelbtinų dalykų.

Jų akivaizdoje, „OneLogin“ buvo labai tiesmuki apie šį įvykį. Jie laikėsi atnaujintas dienoraščio įrašas savo svetainėje, bendravo su klientais apie išpuolį ir patarė, ką daryti. Kol kas nėra jokių požymių, kad įmonė suprato, kas įvyko. (Nors jie galbūt šiek tiek sumenkino išpuolio rimtumą.)

Ką turėtumėte daryti, jei naudojate „OneLogin“

„OneLogin“ greitai išleido vadovą, kuris padeda vartotojams sušvelninti bet kokį išpuolio poveikį (Registras taip pat paskelbė šį sąrašą ne klientams). Į sąrašą įtraukiami slaptažodžių nustatymai, nauji autentifikavimo žetonai, atsikratyti saugių užrašų ir daugybė kitų techninių, administratoriaus lygio pasiūlymų.

Tačiau jei jūs esate „OneLogin“ vartotojas, akivaizdus veiksmas yra daug paprastesnis: pakeiskite slaptažodžius ir atnaujinkite autentifikavimo žetonus. Tai užtruks, bet tai verta padaryti, nes yra labai didelė tikimybė, kad kažkas gali pasiekti viską, ką saugote jūsų paskyroje. Pakeiskite pagrindinį slaptažodį, pakeiskite savo programų slaptažodžius, pakeiskite viską, ką išsaugojote „OneLogin“.

Išmeskite saugias užrašus.

Taip, tai bus čiulpti. Bet tai atsieis daug mažiau, nei užpuoliko perimtas vienas iš jūsų svarbių paslaugų (arba, dar blogiau, sulaikytas už išpirką).

Ko galime išmokti iš „OneLogin Hack“

Pirmoji ir labiausiai nerimą kelianti pamoka aiški: vienkartinės prisijungimo (SSO) ir slaptažodžių tvarkymo įmonės nėra apsaugotos nuo grėsmių saugumui. Šios bendrovės žino, kad saugumas yra didelis jų klientų reikalas ir kad jos turi didžiulį kiekį vertingos informacijos.

Bet nutinka blogų dalykų. Šiuo atveju API raktai, suteikę užpuolikams prieigą prie „OneLogin“, atsirado „iš tarpinio pagrindinio kompiuterio su kitu, mažesniu paslaugų teikėjas JAV “ Nepaisant „OneLogin“ atsidavimo saugumui, kitos bendrovės trūkumai galėjo leisti užpuolikams į.

Deja, nė viena įmonė nėra apsaugota nuo įsilaužimo. Slaptažodžio valdymas ir SSO įmonės į saugumą žiūri labai rimtai ir iš esmės daro gerą darbą. Bet tai turėjo įvykti.

Pirmyn, ką tu gali padaryti? Štai keli dalykai, kuriuos reikėtų atsiminti, kai naudojatės tokio tipo paslaugomis.

Viską laikyti vienoje vietoje yra bloga idėja

Akivaizdu, kad slaptažodžius ketinate laikyti slaptažodžio tvarkymo programoje. Bet ar tai turėtų būti? visi jūsų neskelbtinos informacijos? O gal ir ne.

Patogu naudoti „LastPass“ saugius užrašus, pvz., Saugoti banko sąskaitos informaciją arba namų „Wi-Fi“ slaptažodį. Bet jei ši paslauga bus nulaužta, dabar žiūrite dar daugiau problemų. Gali būti, kad jūsų kreditinės kortelės informacija jau yra išsaugota. Vis dėlto jei pridursite dar kelios pagrindinės informacijos dalys 10 dalių informacijos, kuri naudojama jūsų tapatybei pavogtiAsmens tapatybės vagystė gali brangiai kainuoti. Čia yra 10 informacijos, kurią reikia apsaugoti, kad jūsų tapatybė nebūtų pavogta. Skaityti daugiau , tapatybės vagystė tampa daug lengvesnė.

Apsvarstykite galimybę naudoti kitą šifruotą paslaugą, kuri nekaupia informacijos debesyje, pvz „SplashID“, arba tiesiog šifruokite ir slaptažodžiu apsaugokite savo kompiuterio aplanką Kaip apsaugoti aplanką slaptažodžiu naudojant slaptažodį WindowsReikia išlaikyti „Windows“ aplanką privačią? Čia yra keletas būdų, kuriuos galite naudoti norėdami apsaugoti failus slaptažodžiu „Windows 10“ asmeniniame kompiuteryje. Skaityti daugiau . Tai šiek tiek mažiau patogu, tačiau pažeidimo atveju tai gali žymiai sumažinti sunkumų kiekį.

Du kartus pagalvokite apie vienkartinį prisijungimą

SSO yra puikus, nes taupo daug laiko ir sumažina slaptažodžių skaičių. „OpenID“, prisijungimas socialinio tinklo kredencialais Naudojate socialinį prisijungimą? Atlikite šiuos veiksmus, kad apsaugotumėte savo paskyrasJei naudojate socialinio prisijungimo paslaugą (pvz., „Google“ ar „Facebook“), tuomet galite pamanyti, kad viskas yra saugu. Ne taip - laikas pažvelgti į socialinių prisijungimų silpnybes. Skaityti daugiau , ir kiti panašūs metodai yra gana populiarūs. (Norėdami būti visiškai sąžiningas, aš pats juos naudoju.)

Saugesnis pasirinkimas yra tiesiog atidaryti sąskaitą su kiekvienos svetainės el. Pašto adresu. Jei naudojate slaptažodžių tvarkyklę, tai padaryti yra labai paprasta. Ne taip lengva, kaip „OAuth“ ar panašų prisijungimą vienu paspaudimu, bet taip yra tikrai saugesnis Kaip milijonai programų yra pažeidžiami dėl bendro saugumo įsilaužimo„OAuth“ yra atviras standartas, naudojamas norint prisijungti prie trečiųjų šalių programos ar svetainės naudojant „Facebook“, „Twitter“ ar „Google“ paskyras - ir jis yra pažeidžiamas įsilaužėlių. Skaityti daugiau .

Kad būtų sąžininga, kai kurie žmonės skatina vienkartinį prisijungimą naudoti kaip saugumo praktiką. Pasverkite savo galimybes.

Svarbiose paslaugose naudokite dviejų veiksnių autentifikavimą

Daugybę kartų mes kalbėjome apie dviejų veiksnių autentifikavimą, bet jei nesate su juo susipažinęs, perskaityk viską apie tai Kas yra dviejų veiksnių autentifikavimas ir kodėl jūs turėtumėte juo naudotisDviejų faktorių autentifikavimas (2FA) yra saugos metodas, kuriam reikia dviejų skirtingų būdų įrodyti jūsų tapatybę. Jis dažniausiai naudojamas kasdieniame gyvenime. Pavyzdžiui, norėdami atsiskaityti kreditine kortele, ne tik ... Skaityti daugiau ir mokytis kurios tarnybos gali ja naudotis Užrakinkite šias paslaugas dabar naudodami dviejų faktorių autentifikavimąDviejų veiksnių autentifikavimas yra protingas būdas apsaugoti savo internetines paskyras. Pažvelkime į kelias paslaugas, kurias galite užrakinti užtikrindami geresnį saugumą. Skaityti daugiau . Tada įjunkite.

Kokioms paslaugoms turėtumėte naudoti dviejų faktorių autentifikavimą? Žodžiu, kuo daugiau. Tai tikrai turėtų apsaugoti jūsų svarbiausios paslaugos, tokios kaip el. Paštas, bankininkystė ir debesų saugykla. Visa kita yra premija. Daryk tai dabar.

Likite aštrūs

„OneLogin“ vartotojai išmoko sunkią pamoką: nė viena paslauga nėra šimtu procentų saugi. Tai buvo ypač atšiaurus būdas išmokti šią pamoką, tačiau ilgainiui tai gali būti geriausia. Jei esate „OneLogin“ vartotojas, turėtumėte priversti rinkti kūrinius. Jei to nepadarote, laikykite, kad jums pasisekė, ir imkitės priemonių įsitikinti, kad taip neatsitiks jums.

Ar jus paveikė „OneLogin“ įsilaužimas? Ar tai verčia jus dar kartą pagalvoti apie slaptažodžių tvarkytojus ar vieno prisijungimo programas? Pasidalykite savo mintimis komentaruose žemiau!