Хакът OneLogin беше сериозен и ни научи на урок

реклама

Ние сме големи фенове на мениджъри на пароли Как мениджърите на пароли пазят вашите паролиПаролите, които е трудно да се счупят, също са трудни за запомняне. Искате да сте в безопасност? Имате нужда от мениджър на пароли. Ето как работят и как те пазят. Прочетете още тук, в MakeUseOf. Те улесняват живота ви, ускоряват много процеси и подобряват сигурността ви. Но те също така концентрират вашата чувствителна информация за паролата на едно място - и това може да бъде опасно.

Пример: OneLogin, производителят на приложение за единично влизане и управление на парола на ниво предприятие, беше хакнат на 31 май 2017 г. И това е наистина лоша новина Ето какво се случи, какво трябва да направите и някои уроци, които можем да научим.

Какво се случи в OneLogin?

Ето какво казва OneLogin:

„… Актьор със заплаха използва един от нашите AWS ключове, за да получи достъп до нашата AWS платформа чрез API от междинен хост с друг, по-малък доставчик на услуги в САЩ…“

Какво означава това? Това означава, че някой е преглеждал чувствителните данни на OneLogin. И докато голяма част от тези данни са криптирани, OneLogin вярва, че нападателите са успели да декриптират поне част от данните.

Щом техниците на OneLogin откриха проникването, те затвориха системите, които бяха проникнали. За съжаление се съобщава, че те не са открили проникването до седем часа след стартирането му. Това е дълго време да се опитвате чрез чувствителни данни.

До какви данни могат да имат достъп нападателите?

„Актьорът със заплаха успя да получи достъп до таблици на базата данни, които съдържат информация за потребители, приложения и различни видове ключове.“

Въпреки че не е ясно какъв точно е обхватът на този списък, това определено е много чувствителни неща.

За тяхна заслуга, OneLogin бяха много откровени за този инцидент. Те са запазили актуализирана публикация в блога на техния сайт, комуникирали с клиенти за атаката и давали съвети какво да правят. Засега няма индикации, че компанията е объркала какво се е случило. (Макар че донякъде са намалили сериозността на атаката.)

Какво трябва да направите, ако използвате OneLogin

OneLogin бързо пусна ръководство, за да помогне на потребителите да смекчат всички ефекти от атаката (Регистърът също публикувал този списък за не-клиенти). Списъкът включва нулиране на пароли, нови маркери за удостоверяване, освобождаване от сигурни бележки и редица други технически предложения на администраторско ниво.

Ако обаче сте потребител на OneLogin, очевидният ход на действие е много по-прост: променете паролите си и актуализирайте маркерите си за удостоверяване. Ще отнеме известно време, но си струва да направите, защото има много голям шанс някой да има достъп до всичко, което сте съхранили в акаунта ви. Променете основната си парола, променете паролите за вашите приложения, променете всичко, което сте запазили в OneLogin.

И изхвърлете сигурните си бележки.

Да, ще е гадно. Но ще изсмучеш много по-малко от това да имаш някоя от важните ти услуги, поета от нападател (или евентуално по-лошо, задържана за откуп).

Какво можем да научим от хака на OneLogin

Първият и най-притеснителен урок е ясен: компаниите за еднократно влизане (SSO) и управляващи пароли не са имунизирани срещу заплахи за сигурността. Тези компании знаят, че сигурността е голяма работа за техните клиенти и че притежават огромно количество ценна информация.

Но се случват лоши неща. В този случай ключовете на API, които дават на нападателите достъп до OneLogin, произхождат „от междинен хост с друг, по-малък доставчик на услуги в САЩ. “ Въпреки отдадеността на OneLogin за сигурност, недостатъците на друга компания може да са позволили нападателите инча

За съжаление, нито една компания не е устойчива на хакове. Управлението на паролите и SSO компаниите приемат сигурността много сериозно и като цяло се справят добре с нея. Но това трябваше да се случи.

Ако продължавате напред, какво можете да направите? Ето няколко неща, които трябва да имате предвид, когато използвате тези видове услуги.

Съхраняването на всичко на едно място е лоша идея

Очевидно ще запазите паролите си в приложението си за управление на пароли. Но трябва ли да е хранилището за всичко от вашата чувствителна информация? Може би не.

Лесно е да използвате защитените бележки на LastPass, например, за да запазите информацията за банковата си сметка или паролата за домашен Wi-Fi. Но ако тази услуга се хакне, сега разглеждате още повече проблеми. Може да имате вече съхранена информация за вашата кредитна карта. И все пак ако добавите още няколко ключови сведения 10 части информация, които се използват за открадване на самоличността виКражбата на самоличност може да струва скъпо. Ето 10-те части информация, която трябва да защитите, за да не бъде открадната вашата самоличност Прочетете още , кражбата на самоличност става много по-лесна.

Помислете да използвате друга криптирана услуга, която не съхранява информация в облака, например SplashID, или просто криптиране и защита с парола папка на вашия компютър Как да защитим парола на папка в WindowsТрябва да запазите папка на Windows лична? Ето няколко метода, които можете да използвате за защита на паролата на вашите файлове на компютър с Windows 10. Прочетете още . Това е малко по-малко удобно, но може значително да намали затрудненията в случай на нарушение.

Помислете два пъти за еднократно влизане

SSO е страхотен, защото спестява много време и свежда паролите ви до минимум. OpenID, влизане с идентификационни данни на социалната мрежа Използвате социално влизане? Направете тези стъпки, за да защитите вашите акаунтиАко използвате услуга за вход в социални мрежи (като Google или Facebook), може би смятате, че всичко е защитено. Не е така - време е да разгледаме слабостите на социалните данни. Прочетете още и други подобни методи са доста популярни. (За да бъда напълно честен, аз самият ги използвам.)

По-сигурният вариант е просто да отворите акаунт с имейл адреса си за всеки сайт. Ако използвате мениджър на пароли, това е лесно. Не е толкова лесно като OAuth или подобно влизане с едно щракване, но това е определено по-сигурно Как милиони приложения са уязвими за един хак за сигурностOAuth е отворен стандарт, използван за да ви позволи да влезете в приложение или уебсайт на трети страни чрез акаунт във Facebook, Twitter или Google - и е уязвим за хакери. Прочетете още .

За да бъдем справедливи, някои хора насърчават използването на единичен вход като практика за сигурност. Претеглете вашите възможности.

Използвайте двуфакторна автентификация на важни услуги

Говорихме за двуфакторно удостоверяване безброй пъти, но ако не сте запознати с него, Прочети всичко за него Какво е двуфакторно удостоверяване и защо трябва да го използватеДвуфакторното удостоверяване (2FA) е метод за защита, който изисква два различни начина за доказване на вашата идентичност. Често се използва в ежедневието. Например плащането с кредитна карта изисква не само картата, ... Прочетете още и се научете кои услуги могат да го използват Заключете тези услуги сега с двуфакторна автентификацияДвуфакторното удостоверяване е интелигентният начин за защита на вашите онлайн акаунти. Нека да разгледаме някои от услугите, които можете да заключите с по-добра сигурност. Прочетете още . След това го включете.

За кои услуги трябва да използвате двуфакторно удостоверяване? Накратко, колкото можете повече. Вашите най-важни услуги, като имейл, банкиране и съхранение в облак, определено трябва да бъдат защитени от него. Всичко останало е бонус. Направи го сега.

Останете рязко

Потребителите на OneLogin научиха тежък урок: нито една услуга не е 100 процента сигурна. Това беше особено суров начин да научите този урок, но в дългосрочен план това може да е най-доброто. Ако сте потребител на OneLogin, трябва да се заемете с набирането на парчетата. Ако не сте, считайте себе си за късметлия и направете стъпки, за да сте сигурни, че това не ви се случва.

Засегнати ли сте от хака на OneLogin? Прави ли ви да мислите два пъти за мениджърите на пароли или за приложенията за единичен вход? Споделете мислите си в коментарите по-долу!