Содержание
Мы большие поклонники паролей
здесь, в MakeUseOf. Они облегчают вашу жизнь, ускоряют множество процессов и повышают вашу безопасность. Но они также концентрируют вашу конфиденциальную информацию о пароле в одном месте — и это может быть опасно.
Пример: OneLogin, производитель корпоративного приложения для единого входа и управления паролями, был взломан 31 мая 2017 года. И это действительно плохие новости. Вот что случилось, что вы должны сделать, и некоторые уроки, которые мы можем извлечь.
Что случилось в OneLogin?
Вот что говорит OneLogin:
«… Субъект угрозы использовал один из наших ключей AWS, чтобы получить доступ к нашей платформе AWS через API с промежуточного хоста с другим, более мелким поставщиком услуг в США…»
Что это значит? Это означает, что кто-то просматривал конфиденциальные данные OneLogin. И хотя большая часть этих данных зашифрована, OneLogin считает, что злоумышленникам удалось расшифровать хотя бы некоторые данные.
Как только специалисты OneLogin обнаружили вторжение, они закрыли проникшие системы. К сожалению, сообщалось, что они не обнаружили вторжение в течение семи часов после его начала. Это долгое время, чтобы копаться в конфиденциальных данных.
К каким данным могут иметь доступ злоумышленники?
«Активист угроз смог получить доступ к таблицам базы данных, которые содержат информацию о пользователях, приложениях и ключах различных типов».
Хотя не совсем ясно, каков охват этого списка, это определенно много деликатных вещей.
К их чести, OneLogin был очень откровенен об этом инциденте. Они держали обновленную запись в блоге на своем сайте, общались с клиентами о нападении и давали советы о том, что делать. Пока нет никаких признаков того, что компания запутала то, что произошло. (Хотя они могли несколько преуменьшить серьезность атаки.)
Что делать, если вы используете OneLogin
OneLogin быстро выпустил руководство, чтобы помочь пользователям смягчить любые последствия атаки (Реестр также опубликовал этот список для не-клиентов). Список включает в себя сброс пароля, новые токены аутентификации, избавление от защищенных заметок и ряд других технических предложений уровня администратора.
Однако если вы являетесь пользователем OneLogin, очевидный порядок действий намного проще: измените свои пароли и обновите свои токены аутентификации. Это займет некоторое время, но оно того стоит, потому что есть очень хороший шанс, что кто-то имеет доступ ко всему, что вы сохранили в своей учетной записи. Измените свой главный пароль, измените пароли к своим приложениям, измените все, что вы сохранили в OneLogin.
И храни свои безопасные заметки.
Да, это будет отстой. Но это будет намного хуже, чем то, что злоумышленник перехватит одну из ваших важных услуг (или, что еще хуже, удержит за выкуп).
Чему мы можем научиться у OneLogin Hack
Первый и самый тревожный урок очевиден: компании с единым входом (SSO) и паролями не защищены от угроз безопасности. Эти компании знают, что безопасность имеет большое значение для их клиентов, и что они хранят огромное количество ценной информации.
Но плохие вещи случаются. В этом случае ключи API, которые давали злоумышленникам доступ к OneLogin, исходили «от промежуточного хоста с другим, более мелким поставщиком услуг в США». Несмотря на приверженность OneLogin безопасности, недостатки другой компании, возможно, позволили злоумышленникам проникнуть внутрь.
К сожалению, ни одна компания не является взломанной. Компании по управлению паролями и SSO очень серьезно относятся к безопасности и, как правило, делают это хорошо. Но это должно было случиться.
В дальнейшем, что вы можете сделать? Вот несколько вещей, которые следует иметь в виду при использовании этих типов услуг.
Хранить все в одном месте — плохая идея
Очевидно, вы собираетесь хранить свои пароли в приложении для управления паролями. Но должно ли это быть хранилищем всей вашей конфиденциальной информации? Возможно, нет.
Безопасные заметки LastPass легко использовать, например, для хранения информации о вашем банковском счете или домашнего пароля Wi-Fi. Но если этот сервис взломан, вы теперь смотрите на еще больше проблем. Возможно, информация о вашей кредитной карте уже сохранена. Тем не менее, если вы добавите еще несколько ключевых частей информации
Воровство личности становится намного легче.
Попробуйте использовать другую зашифрованную службу, которая не хранит информацию в облаке, например SplashID, или просто зашифруйте и защитите паролем папку на вашем компьютере.
, Это немного менее удобно, но это может значительно уменьшить количество трудностей в случае нарушения.
Подумайте дважды о единой регистрации
SSO хорош, потому что он экономит массу времени и сводит ваши пароли к минимуму. OpenID, вход с учетными данными социальной сети
и другие подобные методы довольно популярны. (Честно говоря, я использую их сам.)
Более безопасный вариант — просто открыть учетную запись с вашим адресом электронной почты для каждого сайта. Если вы используете менеджер паролей, это легко. Не так просто, как OAuth или аналогичный вход в систему одним щелчком, но он определенно более безопасен
,
Чтобы быть справедливым, некоторые люди поощряют использование единого входа в качестве меры безопасности. Взвесьте ваши варианты.
Использовать двухфакторную аутентификацию на важных сервисах
Мы много раз говорили о двухфакторной аутентификации, но если вы не знакомы с ней, прочитайте все об этом
и узнайте, какие сервисы могут его использовать
, Затем включите его.
Для каких сервисов следует использовать двухфакторную аутентификацию? Короче как можно больше. Ваши самые важные сервисы, такие как электронная почта, банковские операции и облачное хранилище, обязательно должны быть защищены им. Все остальное является бонусом. Сделай это сейчас.
Оставайся проницательным
Пользователи OneLogin усвоили тяжелый урок: ни один сервис не является на 100% безопасным. Это был особенно суровый способ выучить этот урок, но в долгосрочной перспективе это может быть к лучшему. Если вы являетесь пользователем OneLogin, вам следует заняться сбором кусочков. Если нет, считайте себя счастливчиком и примите меры, чтобы этого не случилось с вами.
Вы были затронуты взломом OneLogin? Это заставляет вас задуматься о менеджерах паролей или приложениях единого входа? Поделитесь своими мыслями в комментариях ниже!
