Διαφήμιση
Είμαστε μεγάλοι οπαδοί του διαχειριστές κωδικών πρόσβασης Πώς Διαχειριστές κωδικών πρόσβασης Κρατήστε τους κωδικούς σας ασφαλήΟι κωδικοί που είναι δύσκολο να σπάσουν είναι επίσης δύσκολο να θυμηθούν. Θέλετε να είστε ασφαλείς; Χρειάζεστε έναν διαχειριστή κωδικών πρόσβασης. Δείτε πώς λειτουργούν και πώς σας κρατούν ασφαλή. Διαβάστε περισσότερα εδώ στο MakeUseOf. Κάνουν τη ζωή σας πιο εύκολη, επιταχύνουν πολλές διαδικασίες και βελτιώνουν την ασφάλειά σας. Αλλά συγκεντρώνουν επίσης τις πληροφορίες ευαίσθητου κωδικού πρόσβασης σε ένα μόνο σημείο - και αυτό μπορεί να είναι επικίνδυνο.
Σημαντική περίπτωση: Η OneLogin, ο παραγωγός μιας εφαρμογής ενιαίας σύνδεσης και διαχείρισης κωδικού πρόσβασης σε επίπεδο επιχείρησης, χάθηκε την 31η Μαΐου 2017. Και αυτό είναι πραγματικά άσχημα νέα. Εδώ είναι τι συνέβη, τι πρέπει να κάνετε και κάποια μαθήματα που μπορούμε να μάθουμε.
Τι συνέβη στο OneLogin;
Εδώ είναι που λέει το OneLogin:
"... ένας φορέας απειλής χρησιμοποίησε ένα από τα κλειδιά AWS για να αποκτήσει πρόσβαση στην πλατφόρμα AWS μέσω API από έναν ενδιάμεσο κεντρικό υπολογιστή με έναν άλλο μικρότερο πάροχο υπηρεσιών στις ΗΠΑ ..."
Τι σημαίνει αυτό? Σημαίνει ότι κάποιος έβλεπε τα ευαίσθητα δεδομένα του OneLogin. Και ενώ πολλά από αυτά τα δεδομένα είναι κρυπτογραφημένα, η OneLogin πιστεύει ότι οι επιτιθέμενοι ήταν σε θέση να αποκρυπτογραφήσουν τουλάχιστον μερικά από τα δεδομένα.
Μόλις οι τεχνικοί του OneLogin ανίχνευσαν τη διείσδυση, έκλεισαν τα συστήματα που είχαν διεισδύσει. Δυστυχώς, έχει αναφερθεί ότι δεν ανίχνευσαν τη διείσδυση μέχρι επτά ώρες μετά την έναρξη. Αυτό είναι πολύ καιρό για να σπρώχνεις τα ευαίσθητα δεδομένα.
Ποια δεδομένα θα μπορούσαν να έχουν πρόσβαση οι εισβολείς;
"Ο δράστης απειλής ήταν σε θέση να αποκτήσει πρόσβαση σε πίνακες βάσης δεδομένων που περιέχουν πληροφορίες για χρήστες, εφαρμογές και διάφορους τύπους κλειδιών".
Ενώ δεν είναι σαφές τι είναι το εύρος αυτής της λίστας, είναι σίγουρα πολύ ευαίσθητο υλικό.
Για την πίστη τους, το OneLogin ήταν πολύ απρόθυμο για αυτό το συμβάν. Έχουν κρατήσει ένα ενημερωμένη ανάρτηση ιστολογίου στην περιοχή τους, επικοινωνούσαν με τους πελάτες σχετικά με την επίθεση και παρείχαν συμβουλές για το τι πρέπει να κάνουν. Δεν υπάρχει καμία ένδειξη μέχρι στιγμής ότι η εταιρεία έχει καταλάβει τι συνέβη. (Αν και μπορεί να έχουν υποτιμηθεί κάπως η σοβαρότητα της επίθεσης.)
Τι πρέπει να κάνετε αν χρησιμοποιείτε το OneLogin
Το OneLogin δημοσίευσε γρήγορα έναν οδηγό που βοηθά τους χρήστες να μετριάσουν τις επιπτώσεις της επίθεσης (Το μητρώο επίσης δημοσίευσε αυτήν τη λίστα για μη πελάτες). Η λίστα περιλαμβάνει επαναφορά κωδικού πρόσβασης, νέες μάρκες ελέγχου ταυτότητας, απαλλαγή από ασφαλείς σημειώσεις και μια σειρά άλλων τεχνικών προτάσεων σε επίπεδο διαχειριστή.
Αν είστε χρήστης του OneLogin, ωστόσο, η προφανής πορεία της δράσης είναι πολύ πιο απλή: αλλάξτε τους κωδικούς πρόσβασης και ενημερώστε τα μάρκες ταυτότητας. Θα χρειαστεί λίγος χρόνος, αλλά αξίζει να το κάνετε, επειδή υπάρχει πολύ καλή πιθανότητα κάποιος να έχει πρόσβαση σε όσα αποθηκεύετε στο λογαριασμό σας. Αλλάξτε τον κύριο κωδικό πρόσβασης, αλλάξτε τους κωδικούς πρόσβασης στις εφαρμογές σας, αλλάξτε ό, τι αποθηκεύσατε στο OneLogin.
Και σκουπίστε τις ασφαλείς σημειώσεις σας.
Ναι, πρόκειται να πιπιλιστεί. Αλλά πρόκειται να πιπίσει πολύ λιγότερο από το να έχεις μία από τις σημαντικές σου υπηρεσίες που έχει αναλάβει ένας επιτιθέμενος (ή, ενδεχομένως, χειρότερα, που κρατείται για λύτρα).
Τι μπορούμε να μάθουμε από το OneLogin Hack
Το πρώτο και το πιο ανησυχητικό μάθημα είναι σαφές: οι εταιρίες ενιαίας σύνδεσης (SSO) και διαχείρισης κωδικού πρόσβασης δεν προστατεύονται από απειλές κατά της ασφάλειας. Αυτές οι εταιρείες γνωρίζουν ότι η ασφάλεια είναι μια μεγάλη υπόθεση για τους πελάτες τους, και ότι κατέχουν μια τεράστια ποσότητα πολύτιμων πληροφοριών.
Αλλά τα κακά πράγματα συμβαίνουν. Σε αυτήν την περίπτωση, τα κλειδιά API που έδωσαν στους εισβολείς πρόσβαση στο OneLogin προήλθαν "από έναν ενδιάμεσο κεντρικό υπολογιστή με έναν άλλο, μικρότερο πάροχος υπηρεσιών στις ΗΠΑ " Παρά την αφοσίωση της OneLogin στην ασφάλεια, οι αδυναμίες μιας άλλης εταιρείας μπορεί να έχουν αφήσει τους επιτιθέμενους σε.
Δυστυχώς, καμία εταιρεία δεν είναι αδιάκριτη. Η διαχείριση κωδικού πρόσβασης και οι εταιρείες SSO λαμβάνουν πολύ σοβαρά την ασφάλεια και γενικά δουλεύουν καλά. Αλλά αυτό έπρεπε να συμβεί.
Πηγαίνοντας προς τα εμπρός, τι μπορείτε να κάνετε; Ακολουθούν μερικά πράγματα που πρέπει να έχετε κατά νου όταν χρησιμοποιείτε αυτούς τους τύπους υπηρεσιών.
Η αποθήκευση όλων σε ένα μέρος είναι κακή ιδέα
Προφανώς θα διατηρήσετε τους κωδικούς πρόσβασής σας στην εφαρμογή διαχείρισης κωδικών πρόσβασης. Αλλά πρέπει να είναι το αποθετήριο για όλα των ευαίσθητων πληροφοριών σας; Μάλλον όχι.
Είναι εύκολο να χρησιμοποιήσετε τις ασφαλείς σημειώσεις του LastPass, για παράδειγμα, για να διατηρήσετε τις πληροφορίες του τραπεζικού σας λογαριασμού ή τον κωδικό πρόσβασης οικιακού Wi-Fi. Αλλά αν η υπηρεσία αυτή γίνει hacked, τώρα ψάχνετε ακόμα περισσότερα προβλήματα. Ενδέχεται να έχετε ήδη αποθηκεύσει τις πληροφορίες της πιστωτικής σας κάρτας. Ωστόσο, αν προσθέσετε μερικά ακόμα βασικά κομμάτια πληροφοριών 10 τεμάχια πληροφοριών που χρησιμοποιούνται για να κλέψουν την ταυτότητά σαςΗ κλοπή ταυτότητας μπορεί να είναι δαπανηρή. Ακολουθούν τα 10 στοιχεία που χρειάζεστε για να προστατεύσετε, έτσι ώστε να μην κλαπεί η ταυτότητά σας. Διαβάστε περισσότερα , η κλοπή ταυτότητας γίνεται πολύ πιο εύκολη.
Σκεφτείτε να χρησιμοποιήσετε μια άλλη κρυπτογραφημένη υπηρεσία που δεν αποθηκεύει πληροφορίες στο σύννεφο, όπως SplashID, ή απλά κρυπτογράφηση και προστασία με κωδικό πρόσβασης ενός φακέλου στον υπολογιστή σας Πώς να προστατεύσετε με κωδικό πρόσβασης έναν φάκελο στα WindowsΠρέπει να διατηρήσετε ιδιωτικό ένα φάκελο των Windows; Ακολουθούν μερικές μέθοδοι που μπορείτε να χρησιμοποιήσετε για την προστασία με κωδικό πρόσβασης των αρχείων σας σε έναν υπολογιστή Windows 10. Διαβάστε περισσότερα . Είναι ελαφρώς λιγότερο βολικό, αλλά θα μπορούσε να μειώσει σημαντικά τη δυσκολία σε περίπτωση παραβίασης.
Σκεφτείτε δύο φορές για την Ενιαία Σύνδεση
Το SSO είναι εξαιρετικό επειδή εξοικονομεί χρόνο και διατηρεί τους κωδικούς σας στο ελάχιστο. OpenID, σύνδεση με τα διαπιστευτήρια του κοινωνικού δικτύου Χρησιμοποιώντας την Κοινωνική Σύνδεση; Ακολουθήστε αυτά τα βήματα για να εξασφαλίσετε τους λογαριασμούς σαςΑν χρησιμοποιείτε μια υπηρεσία κοινωνικής σύνδεσης (όπως Google ή Facebook) τότε ίσως να νομίζετε ότι όλα είναι ασφαλή. Δεν είναι έτσι - ήρθε η ώρα να ρίξετε μια ματιά στις αδυναμίες των κοινωνικών συνδέσεων. Διαβάστε περισσότερα , και άλλες παρόμοιες μέθοδοι είναι αρκετά δημοφιλείς. (Για να είμαι απόλυτα ειλικρινής, τα χρησιμοποιώ και εγώ).
Η ασφαλέστερη επιλογή είναι απλά να ανοίξετε έναν λογαριασμό με τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας για κάθε ιστότοπο. Αν χρησιμοποιείτε διαχειριστή κωδικών πρόσβασης, αυτό είναι εύκολο. Δεν είναι τόσο εύκολο όσο το OAuth ή μια παρόμοια σύνδεση με ένα κλικ, αλλά είναι σίγουρα πιο ασφαλής Πώς εκατομμύρια εφαρμογές είναι ευάλωτες σε μια ενιαία ασφάλειαΤο OAuth είναι ένα ανοιχτό πρότυπο που χρησιμοποιείται για να σας επιτρέψει να συνδεθείτε σε μια εφαρμογή ή ιστότοπο τρίτων με τη χρήση ενός λογαριασμού Facebook, Twitter ή Google και είναι ευάλωτο σε χάκερ. Διαβάστε περισσότερα .
Για να είμαστε δίκαιοι, μερικοί άνθρωποι ενθαρρύνουν τη χρήση της ενιαίας σύνδεσης ως πρακτική ασφαλείας. Ζυγίστε τις επιλογές σας.
Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων σε σημαντικές υπηρεσίες
Έχουμε μιλήσει για έλεγχο ταυτότητας δύο παραγόντων αμέτρητες φορές, αλλά αν δεν είστε εξοικειωμένοι με αυτό, διάβασε όλα αυτά που αφορούν αυτό Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων, και γιατί πρέπει να το χρησιμοποιήσετεΟ έλεγχος ταυτότητας με δύο παράγοντες (2FA) είναι μια μέθοδος ασφαλείας που απαιτεί δύο διαφορετικούς τρόπους απόδειξης της ταυτότητάς σας. Χρησιμοποιείται συνήθως στην καθημερινή ζωή. Για παράδειγμα, η πληρωμή με πιστωτική κάρτα απαιτεί όχι μόνο την κάρτα, ... Διαβάστε περισσότερα και μάθε ποιες υπηρεσίες μπορούν να το χρησιμοποιήσουν Κλείστε τις υπηρεσίες αυτές τώρα με έλεγχο ταυτότητας δύο παραγόντωνΟ έλεγχος ταυτότητας δύο παραγόντων είναι ο έξυπνος τρόπος προστασίας των online λογαριασμών σας. Ας ρίξουμε μια ματιά σε μερικές από τις υπηρεσίες που μπορείτε να κλειδώσετε-κάτω με την καλύτερη ασφάλεια. Διαβάστε περισσότερα . Στη συνέχεια ενεργοποιήστε την.
Για ποιες υπηρεσίες πρέπει να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων; Με λίγα λόγια, όσο μπορείτε. Οι πιο σημαντικές υπηρεσίες σας, όπως το ηλεκτρονικό ταχυδρομείο, η τράπεζα και το cloud storage, πρέπει σίγουρα να προστατεύονται από αυτό. Οτιδήποτε άλλο είναι ένα μπόνους. Κάν 'το τώρα.
Μείνετε Sharp
Οι χρήστες του OneLogin έμαθαν ένα σκληρό μάθημα: καμία υπηρεσία δεν είναι 100% ασφαλής. Αυτός ήταν ένας ιδιαίτερα σκληρός τρόπος για να μάθετε αυτό το μάθημα, αλλά μακροπρόθεσμα, μπορεί να είναι για το καλύτερο. Εάν είστε χρήστης του OneLogin, θα πρέπει να έχετε απασχολημένος να μαζεύετε τα κομμάτια. Εάν δεν είστε, θεωρήστε τον εαυτό σας τυχερό και φροντίστε να μην σας συμβεί.
Είχατε επηρεαστεί από το hack του OneLogin; Σας κάνει να σκεφτείτε δύο φορές σχετικά με τους διαχειριστές κωδικών πρόσβασης ή τις εφαρμογές ενιαίας σύνδεσης; Μοιραστείτε τις σκέψεις σας στα παρακάτω σχόλια!
Ο Dann είναι μια στρατηγική περιεχομένου και σύμβουλος μάρκετινγκ που βοηθά τις εταιρείες να δημιουργούν ζήτηση και οδηγεί. Επίσης, blogs σχετικά με τη στρατηγική και το περιεχόμενο μάρκετινγκ στο dannalbright.com.
