Peter Holmes
0 
3815
427
Jsme velcí fanoušci správců hesel Jak si správci hesel udržují vaše hesla v bezpečí Jak si manažeři hesel udržují vaše hesla v bezpečí Hesla, která se těžko lámají, je také těžké si pamatovat. Chcete být v bezpečí? Potřebujete správce hesel. Tady je, jak fungují a jak vás udržují v bezpečí. tady na MakeUseOf. Usnadňují vám život, zrychlují mnoho procesů a zlepšují vaši bezpečnost. Také však soustředí vaše citlivé informace o heslech na jednom místě - a to může být nebezpečné.
Příklad: OneLogin, výrobce podnikové aplikace pro jednotné přihlášení a správu hesel, byl hacknut 31. května 2017. A to jsou opravdu špatné zprávy. Tady je to, co se stalo, co byste měli udělat, a pár lekcí, které se můžeme naučit.
Co se stalo v OneLoginu?
OneLogin říká:
“… Aktér hrozby použil jeden z našich klíčů AWS k získání přístupu k naší platformě AWS přes API od zprostředkujícího hostitele s jiným, menším poskytovatelem služeb v USA… ”
Co to znamená? To znamená, že někdo prohlížel citlivá data OneLoginu. A zatímco většina těchto dat je šifrována, OneLogin věří, že útočníci byli schopni dešifrovat alespoň některá data.
Jakmile technici OneLogin detekovali vniknutí, zavřeli infiltrované systémy. Bohužel bylo zaznamenáno, že nezjistili narušení až sedm hodin po jeho zahájení. Je to dlouhá doba, kdy se probíjíme citlivými daty.
K jakým datům by útočníci měli přístup?
“Herec hrozby měl přístup k databázovým tabulkám, které obsahují informace o uživatelích, aplikacích a různých typech klíčů.”
I když není jasné, co přesně je rozsah tohoto seznamu, je to určitě spousta citlivých věcí.
OneLogin byl na jejich počest o tomto incidentu naprosto otevřený. Na svých stránkách vedli aktualizovaný blogový příspěvek, komunikovali se zákazníky o útoku a poskytovali rady, co dělat. Zatím nic nenasvědčuje tomu, že by společnost zatajila, co se stalo. (I když možná trochu bagatelizovali závažnost útoku.)
Co byste měli udělat, pokud používáte OneLogin
OneLogin rychle vydal průvodce, který uživatelům pomůže zmírnit jakékoli účinky útoku (Registrace tento seznam také zveřejnil pro jiné zákazníky). Seznam obsahuje resetování hesla, nové autentizační tokeny, odstranění bezpečných poznámek a řadu dalších technických návrhů na úrovni správce.
Pokud jste však uživatelem OneLogin, je zřejmé, že postup je mnohem jednodušší: změnit hesla a aktualizovat autentizační tokeny. Chvíli to potrvá, ale vyplatí se to udělat, protože existuje velmi dobrá šance, že někdo má přístup ke všemu, co máte uloženo ve svém účtu. Změňte hlavní heslo, změňte hesla pro aplikace, změňte vše, co jste uložili v OneLoginu.
A zlikvidujte své bezpečné poznámky.
Ano, bude to sát. Ale bude to sát mnohem méně, než aby jednu z vašich důležitých služeb převzal útočník (nebo, možná horší, výkupné).
Co se můžeme naučit z hacku OneLogin
První a nejvíce znepokojující lekce je jasná: společnosti pro jednotné přihlášení (SSO) a správu hesel nejsou vůči bezpečnostním hrozbám imunní. Tyto společnosti vědí, že bezpečnost je pro jejich zákazníky velkou záležitostí a že mají obrovské množství cenných informací.
Ale špatné věci se stávají. V tomto případě vznikly klíče API, které poskytly útočníkům přístup k OneLogin “od zprostředkujícího hostitele s jiným, menším poskytovatelem služeb v USA.” Navzdory odhodlání OneLoginu na zabezpečení mohou útočníci dovnitř dostat nedostatky jiné společnosti.
Bohužel žádná společnost není odolná proti hackerům. Správa hesel a společnosti SSO berou zabezpečení velmi vážně a obecně to dělají dobře. Ale to se muselo stát.
Co dál můžete dělat? Při používání těchto typů služeb je třeba mít na paměti několik věcí.
Ukládání všeho na jednom místě je špatný nápad
Je zřejmé, že vaše hesla zůstanou v aplikaci pro správu hesel. Ale mělo by to být úložiště pro Všechno vašich citlivých informací? Možná ne.
Zabezpečené poznámky LastPass lze snadno používat, například uchovávat informace o bankovním účtu nebo domácí heslo Wi-Fi. Pokud se však tato služba hackne, nyní se díváte na další problémy. Možná již máte uložené informace o své kreditní kartě. Přesto, pokud přidáte několik dalších klíčových informací, 10 kusů informací, které se používají ke krádeži vaší identity, 10 kusů informací, které se používají ke krádeži vaší identity Podle amerického předsednictva v USA v roce 2012 oběti krádeží identity přesáhly 24 miliard dolarů , více než společné vloupání domácností, krádeží motorových vozidel a majetku. Těchto 10 informací je to, co zloději hledají…, krádež identity se stává mnohem jednodušší.
Zvažte použití jiné šifrované služby, která neukládá informace v cloudu, jako je SplashID, nebo pouze šifrování a ochranu heslem složky v počítači Jak heslem chránit složku v systému Windows Jak heslem chránit složku v systému Windows Je třeba udržovat systém Windows složka soukromá? Zde je několik metod, pomocí kterých můžete chránit své soubory heslem v počítači se systémem Windows 10. . Je to o něco méně pohodlné, ale v případě porušení by to mohlo výrazně snížit množství obtížnosti.
Přemýšlejte dvakrát o jednotném přihlášení
SSO je skvělé, protože šetří spoustu času a udržuje vaše hesla na minimu. OpenID, přihlašování pomocí přihlašovacích údajů do sociálních sítí Používáte sociální přihlášení? Proveďte tyto kroky k zabezpečení svých účtů pomocí sociálního přihlášení? Proveďte tyto kroky k zabezpečení svých účtů Pokud používáte sociální přihlašovací službu (jako je Google nebo Facebook), možná si myslíte, že je vše v bezpečí. Není tomu tak - je čas se podívat na slabiny sociálních přihlášení. , a další podobné metody jsou velmi populární. (Abych byl upřímný, používám je sám.)
Bezpečnější možností je jednoduše otevřít účet s e-mailovou adresou pro každý web. Pokud používáte správce hesel, je to snadné. Není to tak snadné jako OAuth nebo podobné přihlášení jedním kliknutím, ale je to určitě bezpečnější, jak miliony aplikací jsou zranitelné vůči jedinému bezpečnostnímu hacku Jak miliony aplikací jsou zranitelné vůči jedinému bezpečnostnímu hacku OAuth je otevřený standard používaný k vám umožní přihlásit se k aplikaci nebo webu třetí strany pomocí účtu Facebook, Twitter nebo Google - a je zranitelný vůči hackerům. .
Abychom byli spravedliví, někteří lidé podporují používání jednotného přihlášení jako bezpečnostní praxe. Zvažte své možnosti.
U důležitých služeb používejte dvoufaktorové ověření
Mluvili jsme o dvoufaktorové autentizaci bezpočet časů, ale pokud s tím nejste obeznámeni, přečtěte si o tom vše Co je dvoufaktorové ověření a proč byste ho měli používat Co je dvoufaktorové ověření a proč byste měli Use It Two-factor Authentication (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu,… a zjistěte, které služby ji mohou používat. Uzamčení těchto služeb nyní s dvoufaktorovým ověřením Uzamčení těchto služeb nyní s dvoufaktorovým ověřením Dvojfaktorové ověření je chytrý způsob, jak chránit své online účty. Pojďme se podívat na několik služeb, které můžete uzamknout, s lepším zabezpečením. . Pak to zapněte.
Pro které služby byste měli používat dvoufaktorové ověřování? Stručně řečeno, tolik, kolik můžete. Vaše nejdůležitější služby, jako je e-mail, bankovnictví a cloudové úložiště, by to mělo být rozhodně chráněno. Všechno ostatní je bonus. Udělej to teď.
Zůstaňte ostré
Uživatelé OneLogin se naučili tvrdou lekci: žádná služba není 100% bezpečná. To byl obzvláště drsný způsob, jak se tuto lekci poučit, ale z dlouhodobého hlediska to může být pro nejlepší. Pokud jste uživatelem OneLogin, měli byste mít plné ruce práce s vyzvedáváním kusů. Pokud nejste, považujte se za šťastného a podnikněte kroky, abyste se ujistili, že se vám to nestane.
Byli jste zasaženi hackerem OneLogin? Přinutí vás přemýšlet dvakrát o správcích hesel nebo aplikacích pro jednotné přihlášení? Podělte se o své myšlenky v komentářích níže!