Reklame
Vi er store fans af adgangskodeadministratorer Hvordan kodeordledere holder dine adgangskoder sikreAdgangskoder, der er svære at knække, er også svære at huske. Vil du være sikker? Du har brug for en adgangskodemanager. Her er, hvordan de fungerer, og hvordan de holder dig i sikkerhed. Læs mere her på MakeUseOf. De gør dit liv lettere, fremskynder en masse processer og forbedrer din sikkerhed. Men de koncentrerer også dine følsomme adgangskodeoplysninger et enkelt sted - og det kan være farligt.
Et eksempel: OneLogin, producenten af en enkelt tilmeldings- og adgangskodeadministrations-app på virksomhedsniveau, blev hacket den 31. maj 2017. Og det er virkelig dårlige nyheder. Her er hvad der skete, hvad du skal gøre og nogle lektioner, vi kan lære.
Hvad skete der med OneLogin?
Her siger OneLogin:
"... en trusselsaktør brugte en af vores AWS-nøgler til at få adgang til vores AWS-platform via API fra en mellemhost med en anden, mindre tjenesteudbyder i USA ..."
Hvad betyder det? Det betyder, at nogen kiggede gennem OneLogins følsomme data. Og selvom meget af disse data er krypteret, mener OneLogin, at angriberen var i stand til at dekryptere mindst nogle af dataene.
Så snart OneLogin-teknikere opdagede indtrængen, lukkede de systemerne, der var infiltreret. Desværre er det rapporteret, at de ikke opdagede indtrængen før syv timer efter, at den startede. Det er længe at gå gennem følsomme data.
Hvilken slags data kunne angriberen have haft adgang til?
”Trusselsaktøren kunne få adgang til databasetabeller, der indeholder oplysninger om brugere, apps og forskellige typer nøgler.”
Selvom det er uklart, præcist hvad rækkevidden af denne liste er, er det bestemt en masse følsomme ting.
Som deres ære har OneLogin været meget direkte på denne hændelse. De har holdt en opdateret blogindlæg på deres websted, kommunikerede med kunder om angrebet og gav råd om, hvad de skal gøre. Der er indtil videre ingen indikation af, at virksomheden har tilsløret hvad der skete. (Selvom de måske har bagatelliseret alvoret i angrebet noget.)
Hvad du skal gøre, hvis du bruger OneLogin
OneLogin frigav hurtigt en guide til at hjælpe brugere med at afbøde eventuelle effekter af angrebet (Registeret også indsendte denne liste for ikke-kunder). Listen inkluderer nulstilling af adgangskode, nye godkendelsesmærker, slippe af med sikre noter og en række andre tekniske forslag på administrator-niveau.
Hvis du dog er en bruger af OneLogin, er det åbenlyse handlingsforløb meget enklere: ændre dine adgangskoder og opdater dine godkendelsesmærker. Det vil tage et stykke tid, men det er værd at gøre, fordi der er en meget god chance for, at nogen har adgang til alt, hvad du har gemt på din konto. Skift din hovedadgangskode, skift adgangskoder til dine apps, skift alt, hvad du gemte i OneLogin.
Og affald dine sikre noter.
Ja, det vil sutte. Men det kommer til at sutte meget mindre end at få en af dine vigtige tjenester overtaget af en angriber (eller, måske værre, holdt for løsepenge).
Hvad vi kan lære af OneLogin Hack
Den første, og mest bekymrende, lektion er klar: SSO-virksomheder (single sign-on) og adgangskodeadministration er ikke immun mod sikkerhedstrusler. Disse virksomheder ved, at sikkerhed er en stor aftale for deres kunder, og at de har en enorm mængde værdifuld information.
Men dårlige ting sker. I dette tilfælde stammer API-nøglerne, der gav angriberne adgang til OneLogin "fra en mellemhost med en anden, mindre tjenesteudbyder i USA. ” På trods af OneLogins dedikation til sikkerhed, kan et andet selskabs mangler have lader angriberne i.
Desværre er intet firma hackfast. Adgangskodestyring og SSO-virksomheder tager sikkerhed meget alvorligt og gør generelt et godt stykke arbejde for det. Men dette skulle helt sikkert ske.
Fremover, hvad kan du gøre? Her er et par ting, du skal huske på, når du bruger disse typer tjenester.
Opbevaring af alt på ét sted er en dårlig idé
Det er klart, at du vil opbevare dine adgangskoder i din adgangskodestyrings-app. Men skulle det være depotet til alle af dine følsomme oplysninger? Måske ikke.
Det er nemt at bruge LastPasss sikre noter, for eksempel for at opbevare dine bankkontooplysninger eller dit Wi-Fi-adgangskode til hjemmet. Men hvis denne service bliver hacket, ser du nu på endnu flere problemer. Du har muligvis allerede gemt dine kreditkortoplysninger. Men hvis du tilføjer et par flere vigtige oplysninger 10 stykker information, der bruges til at stjæle din identitetIdentitetstyveri kan være dyrt. Her er de 10 oplysninger, du har brug for for at beskytte, så din identitet ikke bliver stjålet. Læs mere , identitetstyveri bliver meget lettere.
Overvej at bruge en anden krypteret tjeneste, der ikke gemmer information i skyen, som SplashID, eller bare krypter og kodeordbeskytter en mappe på din computer Sådan beskyttes en mappe med adgangskode i WindowsBrug for at holde en Windows-mappe privat? Her er et par metoder, du kan bruge til at beskytte dine filer på en Windows 10-pc med adgangskode. Læs mere . Det er lidt mindre praktisk, men det kan reducere sværhedsgraden markant i tilfælde af et brud.
Tænk to gange på single sign-on
SSO er fantastisk, fordi det sparer en masse tid og holder dine adgangskoder til et minimum. OpenID, log ind med sociale netværksoplysninger Brug af social login? Tag disse trin for at sikre dine kontiHvis du bruger en social login-service (f.eks. Google eller Facebook), kan du måske tro, at alt er sikkert. Ikke så - det er på tide at se på svaghederne i sociale logins. Læs mere , og andre lignende metoder er meget populære. (For at være helt ærlig bruger jeg dem selv.)
Den mere sikre mulighed er blot at åbne en konto med din e-mail-adresse for hvert websted. Hvis du bruger en adgangskodemanager, er dette let. Ikke så let som OAuth eller en lignende login med et enkelt klik, men det er bestemt mere sikker Sådan såres millioner af apps med en enkelt sikkerhedshackOAuth er en åben standard, der bruges til at give dig mulighed for at logge ind på en tredjeparts app eller websted ved hjælp af en Facebook-, Twitter- eller Google-konto - og den er sårbar for hackere. Læs mere .
For at være retfærdig opfordrer nogle mennesker til brugen af single sign-on som sikkerhedspraksis. Vej dine muligheder.
Brug tofaktorautentisering på vigtige tjenester
Vi har talt om tofaktorautentifikation utallige gange, men hvis du ikke er bekendt med det, Læs alt om det Hvad er tofaktorautentisering, og hvorfor du skal bruge denTo-faktor-godkendelse (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet, ... Læs mere og lære hvilke tjenester der kan bruge det Lås disse tjenester nu ned med tofaktorautentiseringTo-faktor-godkendelse er den smarte måde at beskytte dine online konti. Lad os se på nogle af de tjenester, du kan låse ned med bedre sikkerhed. Læs mere . Tænd det derefter.
Hvilke tjenester skal du bruge tofaktorautentificering til? Kort sagt, så mange som du kan. Dine vigtigste tjenester, som e-mail, bank og cloud-opbevaring, skal bestemt beskyttes af dem. Alt andet er en bonus. Gør det nu.
Bliv skarp
OneLogin-brugere lærte en hård lektion: ingen service er 100 procent sikker. Dette var en særlig hård måde at lære denne lektie på, men på lang sigt er det muligvis bedst. Hvis du er en OneLogin-bruger, skal du have travlt med at hente brikkerne. Hvis du ikke er det, skal du betragte dig som heldig og tage skridt for at sikre dig, at det ikke sker med dig.
Blev du påvirket af OneLogin-hacket? Får det dig til at tænke to gange om adgangskodeadministratorer eller apps til single sign-on? Del dine tanker i kommentarerne herunder!
Dann er en indholdsstrategi og marketingkonsulent, der hjælper virksomheder med at skabe efterspørgsel og kundeemner. Han blogger også om strategi og indholdsmarkedsføring på dannalbright.com.