Взлом OneLogin был серьезным и преподал нам урок

Рекламное объявление

Мы большие поклонники менеджеры паролей Как менеджеры паролей хранят ваши пароли в безопасностиПароли, которые трудно взломать, также трудно запомнить. Хотите быть в безопасности? Вам нужен менеджер паролей. Вот как они работают и как они защищают вас. Подробнее здесь, в MakeUseOf. Они облегчают вашу жизнь, ускоряют множество процессов и повышают вашу безопасность. Но они также концентрируют вашу конфиденциальную информацию о пароле в одном месте - и это может быть опасно.

Пример: OneLogin, производитель корпоративного приложения для единого входа и управления паролями, был взломан 31 мая 2017 года. И это действительно плохие новости. Вот что случилось, что вы должны сделать, и некоторые уроки, которые мы можем извлечь.

Что случилось с OneLogin?

Вот что говорит OneLogin:

«… Субъект угрозы использовал один из наших ключей AWS для получения доступа к нашей платформе AWS через API с промежуточного хоста с другим, более мелким поставщиком услуг в США…»

Что это значит? Это означает, что кто-то просматривал конфиденциальные данные OneLogin. И хотя большая часть этих данных зашифрована, OneLogin считает, что злоумышленникам удалось расшифровать хотя бы некоторые данные.

Как только специалисты OneLogin обнаружили вторжение, они отключили проникшие системы. К сожалению, сообщалось, что они не обнаружили вторжение до семи часов после его начала. Это долгое время, чтобы копаться в конфиденциальных данных.

К каким данным могут иметь доступ злоумышленники?

«Активист угроз смог получить доступ к таблицам базы данных, которые содержат информацию о пользователях, приложениях и ключах различных типов».

Несмотря на то, что неясно, каков охват этого списка, это определенно много чувствительных вещей.

К их чести, OneLogin был очень откровенен об этом инциденте. Они сохранили обновленное сообщение в блоге на их сайте общались с клиентами о нападении и давали советы, что делать. Пока нет никаких признаков того, что компания запутала то, что произошло. (Хотя они могли несколько преуменьшить серьезность атаки.)

Что делать, если вы используете OneLogin

OneLogin быстро выпустил руководство, чтобы помочь пользователям смягчить любые последствия атаки (Регистр также опубликовал этот список для не клиентов). Список включает в себя сброс пароля, новые токены аутентификации, избавление от защищенных заметок и ряд других технических предложений уровня администратора.

Однако если вы являетесь пользователем OneLogin, очевидный порядок действий гораздо проще: измените свои пароли и обновите свои токены аутентификации. Это займет некоторое время, но оно того стоит, потому что есть очень хороший шанс, что кто-то имеет доступ ко всему, что вы сохранили в своей учетной записи. Измените свой главный пароль, измените пароли к своим приложениям, измените все, что вы сохранили в OneLogin.

И храни свои безопасные заметки.

Да, это будет отстой. Но это будет намного хуже, чем взломщик атакует одну из ваших важных услуг (или, что еще хуже, удерживается за выкуп).

Чему мы можем научиться у OneLogin Hack

Первый и самый тревожный урок очевиден: компании единого входа (SSO) и управления паролями не защищены от угроз безопасности. Эти компании знают, что безопасность имеет большое значение для их клиентов, и что они хранят огромное количество ценной информации.

Но плохие вещи случаются. В этом случае ключи API, которые давали злоумышленникам доступ к OneLogin, создавались «с промежуточного хоста с другим, меньшим по размеру». поставщик услуг в США » Несмотря на преданность OneLogin безопасности, недостатки другой компании могли позволить злоумышленникам в.

К сожалению, ни одна компания не является взломанной. Компании по управлению паролями и SSO очень серьезно относятся к безопасности и, как правило, делают это хорошо. Но это должно было случиться.

В дальнейшем, что вы можете сделать? Вот несколько вещей, которые следует иметь в виду при использовании этих типов услуг.

Хранить все в одном месте - плохая идея

Очевидно, вы собираетесь хранить свои пароли в приложении для управления паролями. Но должно ли это быть хранилище для все вашей конфиденциальной информации? Возможно, нет.

Безопасные заметки LastPass легко использовать, например, для хранения информации о вашем банковском счете или домашнего пароля Wi-Fi. Но если этот сервис взломан, вы теперь смотрите на еще больше проблем. Возможно, информация о вашей кредитной карте уже сохранена. Тем не менее, если вы добавите еще несколько ключевых частей информации 10 частей информации, которые используются, чтобы украсть вашу личностьКража личных данных может быть дорогостоящей. Вот 10 частей информации, которые вы должны защитить, чтобы ваша личность не была украдена. Подробнее Воровство личности становится намного проще.

Рассмотрите возможность использования другого зашифрованного сервиса, который не хранит информацию в облаке, например SplashID, или просто Зашифровать и защитить паролем папку на вашем компьютере Как защитить паролем папку в WindowsНужно держать папку Windows в секрете? Вот несколько методов, которые вы можете использовать для защиты ваших файлов паролем на компьютере с Windows 10. Подробнее . Это немного менее удобно, но это может значительно уменьшить количество трудностей в случае нарушения.

Подумайте дважды о едином входе

SSO хорош, потому что он экономит массу времени и сводит ваши пароли к минимуму. OpenID, вход с учетными данными социальной сети Используя социальный вход? Примите эти меры для защиты ваших учетных записейЕсли вы используете социальную службу входа (например, Google или Facebook), то вы можете подумать, что все в безопасности. Не так - пришло время взглянуть на слабые стороны социальных логинов. Подробнее и другие подобные методы довольно популярны. (Чтобы быть полностью честным, я использую это сам.)

Более безопасный вариант - просто открыть учетную запись с вашим адресом электронной почты для каждого сайта. Если вы используете менеджер паролей, это легко. Не так просто, как OAuth или аналогичный вход в систему одним щелчком, но это определенно более безопасный Как миллионы приложений уязвимы для одного взлома безопасностиOAuth - это открытый стандарт, используемый для входа в стороннее приложение или веб-сайт с использованием учетной записи Facebook, Twitter или Google, и он уязвим для хакеров. Подробнее .

Чтобы быть справедливым, некоторые люди поощряют использование единого входа в качестве меры безопасности. Взвесьте ваши варианты.

Используйте двухфакторную аутентификацию на важных сервисах

Мы много раз говорили о двухфакторной аутентификации, но если вы не знакомы с ней, прочитать все об этом Что такое двухфакторная аутентификация и почему ее следует использоватьДвухфакторная аутентификация (2FA) - это метод безопасности, который требует двух разных способов подтверждения вашей личности. Это обычно используется в повседневной жизни. Например, оплата кредитной картой не только требует карты, ... Подробнее и учиться какие сервисы могут его использовать Блокируйте эти сервисы теперь с двухфакторной аутентификациейДвухфакторная аутентификация - это умный способ защитить ваши онлайн-аккаунты. Давайте рассмотрим некоторые из сервисов, которые вы можете заблокировать с большей безопасностью. Подробнее . Затем включите его.

Для каких сервисов следует использовать двухфакторную аутентификацию? Короче как можно больше. Ваши самые важные сервисы, такие как электронная почта, банковские операции и облачное хранилище, обязательно должны быть защищены им. Все остальное является бонусом. Сделай это сейчас.

Остаются острыми

Пользователи OneLogin усвоили тяжелый урок: ни один сервис не защищен на 100%. Это был особенно суровый способ выучить этот урок, но в долгосрочной перспективе это может быть к лучшему. Если вы являетесь пользователем OneLogin, вам следует заняться сбором кусочков. Если нет, считайте себя счастливчиком и примите меры, чтобы этого не случилось с вами.

На вас повлиял взлом OneLogin? Это заставляет вас задуматься о менеджерах паролей или приложениях единой регистрации? Поделитесь своими мыслями в комментариях ниже!