Oglas
Smo veliki oboževalci skrbniki gesel Kako skrbniki gesla varujejo geslaGesla, ki jih je težko razbiti, si je težko zapomniti. Želite biti na varnem? Potrebujete skrbnika gesla. Tukaj je opisano, kako delujejo in kako vas varujejo. Preberi več tukaj na MakeUseOf. Olajšajo vam življenje, pospešijo veliko procesov in izboljšajo vašo varnost. Vendar tudi vaše občutljive podatke o geslu koncentrirajo na enem mestu - in to je lahko nevarno.
Primer: EnaLogin, proizvajalec aplikacije za enotno prijavo in upravljanje gesla na ravni podjetja, je bil 31. maja 2017 vdrl. In to je res slaba novica. Tukaj je nekaj, kar bi morali storiti, in nekaj lekcij, ki se jih lahko naučimo.
Kaj se je zgodilo pri OneLoginu?
Tukaj je nekaj, kar pravi OneLogin:
"... akter grožnje je s pomočjo vmesnega gostitelja z drugim, manjšim ponudnikom storitev v ZDA z dostopom do naše platforme AWS uporabil enega od naših AWS ključev",
Kaj to pomeni? To pomeni, da je nekdo pregledal občutljive podatke OneLogina. In čeprav je velik del teh podatkov šifriran, OneLogin verjame, da so napadalci uspeli dešifrirati vsaj nekatere podatke.
Takoj, ko so strokovnjaki OneLogin zaznali vdor, so ustavili sisteme, ki so bili infiltrirani. Žal so vdori zaznali šele sedem ur po tem, ko se je začel. Že dolgo je treba preučevati občutljive podatke.
Do katere vrste podatkov bi napadalci lahko imeli dostop?
"Akter grožnje je lahko dostopal do tabel baze podatkov, ki vsebujejo podatke o uporabnikih, aplikacijah in različnih vrstah ključev."
Čeprav ni jasno, kakšen je obseg tega seznama, je vsekakor veliko občutljivih stvari.
Njihovo priznanje je bilo pri OneLoginu zelo odkrito glede tega incidenta. Obdržali so posodobljena objava bloga na njihovem spletnem mestu komunicirali s strankami o napadu in dajali nasvete, kaj storiti. Zaenkrat še ni znakov, da je podjetje zakrivilo, kaj se je zgodilo. (Čeprav so morda nekoliko zmanjšali resnost napada.)
Kaj morate storiti, če uporabljate OneLogin
OneLogin je hitro izdal vodič, s katerim lahko uporabnikom ublaži kakršne koli učinke napada (Register tudi objavil ta seznam za ne-kupce). Seznam vključuje ponastavitve gesla, nove žetone za preverjanje pristnosti, odstranjevanje varnih opomb in številne druge tehnične predloge na ravni skrbnika.
Če ste uporabnik OneLogina, je očitno potek delovanja veliko preprostejši: spremenite gesla in posodobite žetone za preverjanje pristnosti. Nekaj časa bo trajalo, vendar je vredno storiti, ker obstaja zelo dobra možnost, da ima nekdo dostop do vsega, kar ste shranili v vašem računu. Spremenite glavno geslo, spremenite gesla za svoje aplikacije, spremenite vse, kar ste shranili v OneLogin.
In smeti svoje varne beležke.
Da, to bo zanič. Ampak to bo zanič veliko manj, kot če bo napadalca prevzela ena od vaših pomembnih storitev (ali, kar je še huje, zadržana zaradi odkupnine).
Kaj se lahko naučimo iz kraka OneLogin
Prva in najbolj zaskrbljujoča lekcija je jasna: enotna prijava (SSO) in družbe za upravljanje gesla niso imune pred varnostnimi grožnjami. Ta podjetja vedo, da je varnost za njihove stranke velika težava in da hranijo ogromno dragocenih informacij.
Se pa zgodijo slabe stvari. V tem primeru so ključi API, ki so napadalcem omogočili dostop do OneLogina, izvirali iz "vmesnega gostitelja z drugim, manjšim ponudnik storitev v ZDA. " Kljub zavzetosti OneLogina za varnost so napadalci morda pustili druge pomanjkljivosti v.
Žal nobeno podjetje ni protidružinsko. Upravljanje z geslom in podjetja SSO jemljejo varnost zelo resno in na splošno dobro delajo. A to naj bi se zgodilo.
Če greš naprej, kaj lahko storiš? Tu je nekaj stvari, ki jih morate upoštevati pri uporabi teh vrst storitev.
Shranjevanje vsega na enem mestu je slaba ideja
Očitno boste gesla obdržali v aplikaciji za upravljanje gesla. Toda ali bi moralo biti to odlagališče za vse vaših občutljivih podatkov? Morda pa tudi ne.
Z varnimi opombami LastPass je na primer enostavno uporabljati podatke o svojem bančnem računu ali domače geslo za Wi-Fi. Če pa se bo ta storitev zlomila, imate zdaj še več težav. Podatki o vaši kreditni kartici so morda že shranjeni. Če dodate še nekaj ključnih podatkov 10 kosov informacij, ki se uporabljajo za krajo vaše identiteteKraja identitete je lahko draga. Tu je 10 informacij, ki jih morate zaščititi, da vaša identiteta ne bo ukradena. Preberi več , kraja identitete postane veliko lažja.
Razmislite o uporabi druge šifrirane storitve, ki ne shranjuje informacij, npr SplashIDali samo šifriranje in geslo ščiti mapo v vašem računalniku Kako z geslom zaščititi mapo v operacijskem sistemu WindowsMorate ohraniti zasebno mapo Windows? Tu je nekaj načinov, ki jih lahko uporabite za zaščito datotek z geslom v računalniku z Windows 10. Preberi več . Je nekoliko manj priročen, vendar bi lahko v primeru kršitve znatno zmanjšal težavo.
Razmislite dvakrat o enotni prijavi
SSO je odličen, ker prihrani tono časa in vaša gesla ohranja na minimumu. OpenID, prijava s poverilnicami družbenega omrežja Ali uporabljate socialno prijavo? Naredite te korake za zavarovanje računovČe uporabljate storitev socialne prijave (na primer Google ali Facebook), potem morda mislite, da je vse varno. Ni tako - čas je, da pogledamo slabosti družbenih prijav. Preberi več in druge podobne metode so precej priljubljene. (Če sem popolnoma iskren, jih uporabljam tudi sam.)
Bolj varna možnost je, da preprosto odprete račun s svojim e-poštnim naslovom za vsako spletno mesto. Če uporabljate upravitelja gesel, je to enostavno. Ni tako enostavno kot OAuth ali podobna prijava z enim klikom, vendar je to vsekakor bolj varna Kako so milijoni aplikacij ranljivi za en sam varnostni krampOAuth je odprt standard, ki vam omogoča, da se prijavite v aplikacijo ali spletno mesto tretjih oseb z uporabo računa Facebook, Twitter ali Google - in je ranljiv za hekerje. Preberi več .
Če bi bilo pošteno, nekateri spodbujajo uporabo enotne prijave kot varnostne prakse. Odtehtajte svoje možnosti.
Na pomembnih storitvah uporabite dvofaktorsko overjanje
Neštetokrat smo govorili o preverjanju pristnosti z dvema faktorjema, če pa je niste seznanili, prebrati vse o tem Kaj je dvofaktorska overitev in zakaj jo morate uporabljatiDvofaktorska avtentikacija (2FA) je varnostna metoda, ki zahteva dva različna načina dokazovanja vaše identitete. Običajno se uporablja v vsakdanjem življenju. Na primer za plačilo s kreditno kartico ni potrebna samo kartica, ... Preberi več in se učite katere storitve ga lahko uporabljajo Zaklenite te storitve zdaj z dvofaktorno overitvijoDvofaktorska overitev je pameten način za zaščito vaših spletnih računov. Oglejmo si nekaj storitev, ki jih lahko zaprete z boljšo varnostjo. Preberi več . Nato ga vklopite.
Za katere storitve bi morali uporabljati dvofaktorsko preverjanje pristnosti? Skratka, čim več. Zagotovo bi morale biti zaščitene vaše najpomembnejše storitve, kot so e-pošta, bančništvo in shranjevanje v oblaku. Vse drugo je bonus. To storite zdaj.
Ostanite ostri
Uporabniki OneLogina so se naučili težko lekcijo: nobena storitev ni stoodstotno varna. To je bil še posebej oster način, da se naučimo te lekcije, a na dolgi rok je to morda najbolje. Če ste OneLogin uporabnik, bi morali zbirati koščke. Če niste, si oglejte srečo in naredite korake, da se vam ne bo zgodilo.
Vas je prizadel heck OneLogin? Se vam zdi, da dvakrat razmišljate o upraviteljih gesel ali aplikacijah za enotno prijavo? Delite svoje misli v spodnjih komentarjih!
Dann je vsebinska strategija in marketinški svetovalec, ki podjetjem pomaga ustvarjati povpraševanje in voditi. Na spletni strani dannalbright.com piše tudi bloge o strategiji in vsebinskem marketingu.
