פרסומת
אנחנו אוהדים גדולים של מנהלי סיסמאות כיצד מנהלי סיסמאות שומרים על סיסמאותיךקשה לזכור סיסמאות שקשה לפצח. רוצים להיות בטוחים? אתה צריך מנהל סיסמאות. הנה איך הם עובדים ואיך הם שומרים עליך. קרא עוד כאן ב- MakeUseOf. הם מקלים על חייך, מאיצים תהליכים רבים ומשפרים את האבטחה שלך. אבל הם גם מרכזים את פרטי הסיסמא הרגישים שלך במקום אחד - וזה יכול להיות מסוכן.
מקרה של נקודה: OneLogin, מפיק אפליקציית כניסה יחידה וניהול סיסמאות ברמת הארגון, נפרץ ב- 31 במאי 2017. ואלה חדשות ממש רעות. הנה מה שקרה, מה עליכם לעשות וכמה שיעורים נוכל ללמוד.
מה קרה ב- OneLogin?
הנה מה ש- OneLogin אומר:
"... שחקן איום השתמש באחד ממפתחות ה- AWS שלנו בכדי לקבל גישה לפלטפורמת AWS שלנו דרך API ממארח ביניים עם ספק שירות אחר, קטן יותר בארה"ב ..."
מה זה אומר? המשמעות היא שמישהו בחן את הנתונים הרגישים של OneLogin. ובעוד חלק גדול מהנתונים הללו מוצפנים, OneLogin סבור כי התוקפים הצליחו לפענח לפחות חלק מהנתונים.
ברגע שטכנאי OneLogin זיהו את הפריצה הם כבו את המערכות שהוחדרו. למרבה הצער, דווח כי הם לא זיהו את הפריצה רק שבע שעות לאחר תחילתה. זה הרבה זמן לחקור נתונים רגישים.
לאיזה סוג נתונים עשויים לגשת לתוקפים?
"שחקן האיום הצליח לגשת לטבלאות מסדי נתונים המכילות מידע על משתמשים, אפליקציות וסוגים שונים של מפתחות."
אמנם לא ברור מה היקף הרשימה הזו, אבל זה בהחלט הרבה דברים רגישים.
לזכותם ייאמר ש- OneLogin מאוד התייחס למקרה זה. הם המשיכו פוסט מעודכן בבלוג באתר שלהם, התקשרו עם לקוחות על התקיפה וסיפקו עצות מה לעשות. עד כה אין שום אינדיקציה שהחברה העלתה את מה שקרה. (אם כי יתכן שהמעיטו במידת מה ברצינות ההתקפה.)
מה עליך לעשות אם אתה משתמש ב- OneLogin
OneLogin פרסמה במהירות מדריך שיעזור למשתמשים להקל על כל ההשפעה של ההתקפה (הקופה גם פרסם רשימה זו עבור לקוחות שאינם לקוחות). הרשימה כוללת איפוס סיסמאות, אסימוני אימות חדשים, היפטרות מרשימות מאובטחות ומספר הצעות טכניות אחרות ברמת מנהל.
אם אתה משתמש ב- OneLogin, דרך הפעולה הברורה היא הרבה יותר פשוטה: שנה את הסיסמאות שלך ועדכן את אסימוני האימות שלך. זה ייקח זמן, אבל כדאי לעשות זאת, כי יש סיכוי טוב מאוד שלמישהו יש גישה לכל מה ששמרת בחשבונך. שנה את סיסמת האב שלך, שנה את הסיסמאות ליישומים שלך, שנה את כל מה ששמרת ב- OneLogin.
וזרוק את ההערות המאובטחות שלך.
כן, זה הולך לינוק. אבל זה הולך לינוק הרבה פחות מאשר לאחד מהשירותים החשובים שלך להשתלט על ידי תוקף (או, אולי גרוע יותר, להחזיק כופר).
מה אנחנו יכולים ללמוד מההאקל של OneLogin
השיעור הראשון והכי מדאיג הוא ברור: חברות כניסה יחידה (SSO) וחברות לניהול סיסמאות אינן חסינות מפני איומי אבטחה. חברות אלה יודעות כי אבטחה היא עניין גדול עבור הלקוחות שלהם, וכי הם מחזיקים בכמות אדירה של מידע חשוב.
אבל דברים רעים קורים. במקרה זה, מקשי ה- API שהעניקו לתוקפים גישה ל- OneLogin מקורם "ממארח ביניים עם אחר, קטן יותר נותן שירות בארה"ב. " למרות המסירות של OneLogin לאבטחה, ייתכן שחסרונותיה של חברה אחרת אפשרו לתוקפים בתוך.
למרבה הצער, אף חברה אינה מוגנת לפרצות. ניהול סיסמאות וחברות SSO מתייחסים לאבטחה ברצינות רבה, ובאופן כללי עושים עבודה טובה ממנה. אבל זה בטח יקרה.
קדימה, מה אתה יכול לעשות? להלן מספר דברים שכדאי לזכור בעת השימוש בשירותים מסוג זה.
אחסון הכל במקום אחד הוא רעיון רע
ברור שאתה הולך לשמור את הסיסמאות שלך באפליקציית ניהול הסיסמאות שלך. אבל האם זה צריך להיות המאגר עבור את כל של המידע הרגיש שלך? אולי לא.
קל להשתמש בהערות המאובטחות של LastPass, למשל, כדי לשמור על פרטי חשבון הבנק שלך או את סיסמת ה- Wi-Fi הביתית שלך. אבל אם השירות הזה נפרץ, אתה בוחן כעת עוד יותר בעיות. יתכן כי פרטי כרטיס האשראי שלך כבר מאוחסנים. ובכל זאת, אם תוסיף עוד כמה פיסות מידע מרכזיות 10 פיסות מידע המשמשות לגניבת זהותךגניבת זהות יכולה להיות יקרה. להלן 10 פיסות המידע שאתה צריך להגן על מנת שזהותך לא תיגנב. קרא עוד , גניבת זהות הופכת להרבה יותר קלה.
שקול להשתמש בשירות מוצפן אחר שאינו שומר מידע בענן, כמו SplashID, או רק הצפנה וסיסמה להגן על תיקיה במחשב שלך כיצד להגן על סיסמה על תיקיה ב- Windowsצריך לשמור על תיקיית Windows פרטית? להלן מספר שיטות בהן תוכל להשתמש כדי להגן על הסיסמה על קבציך באמצעות סיסמה במחשב Windows 10. קרא עוד . זה מעט פחות נוח, אבל זה יכול להפחית משמעותית את כמות הקושי במקרה של הפרה.
חשוב פעמיים על כניסה יחידה
SSO הוא נהדר מכיוון שהוא חוסך המון זמן ושומר על הסיסמאות שלך למינימום. OpenID, כניסה באמצעות אישורי רשת חברתית משתמש בכניסה חברתית? בצע את הצעדים הבאים לאבטחת חשבונותיךאם אתה משתמש בשירות התחברות חברתי (כמו גוגל או פייסבוק), אתה עשוי לחשוב שהכל מאובטח. לא כך - הגיע הזמן לבדוק את החולשות של כניסות חברתיות. קרא עוד ושיטות דומות אחרות פופולריות למדי. (למען האמת לגמרי, אני משתמש בזה בעצמי.)
האפשרות הבטוחה יותר היא פשוט לפתוח חשבון עם כתובת הדוא"ל שלך עבור כל אתר. אם אתה משתמש במנהל סיסמאות, זה קל. לא ממש קל כמו OAuth או כניסה עם כניסה בלחיצה אחת דומה, אבל זה בהחלט בטוח יותר כיצד פגיעים במיליוני אפליקציות לפריצת אבטחה יחידהOAuth הוא תקן פתוח המשמש לאפשר לך להתחבר לאפליקציה או לאתר של צד שלישי באמצעות חשבון פייסבוק, טוויטר או גוגל - והוא פגיע להאקרים. קרא עוד .
כדי להיות הוגנים, יש אנשים שמעודדים את השימוש בכניסה יחידה כאמצעי ביטחון. שקלו את האפשרויות שלכם.
השתמש באימות דו-גורמי בשירותים חשובים
דיברנו על אימות דו-גורמי אין ספור פעמים, אבל אם אינך בקיא בזה, תקרא הכול אודות זה מה זה אימות דו-גורמי, ומדוע עליך להשתמש בואימות דו-גורמי (2FA) הוא שיטת אבטחה הדורשת שתי דרכים שונות להוכחת זהותך. הוא נפוץ בחיי היומיום. למשל תשלום בכרטיס אשראי לא רק מחייב את הכרטיס, ... קרא עוד וללמוד אילו שירותים יכולים להשתמש בו נעל את השירותים כעת באמצעות אימות דו-גורמיאימות דו-גורמי הוא הדרך החכמה להגן על חשבונותיך המקוונים. בואו נסתכל על כמה מהשירותים שתוכלו לנעול בביטחון טוב יותר. קרא עוד . ואז הפעל אותו.
באילו שירותים עליכם להשתמש באימות דו-גורמי? בקיצור, כמה שרק תוכלו. בהחלט צריך להיות מוגנים על ידי השירותים החשובים ביותר שלך, כמו אימיילים, בנקאות ואחסון בענן. כל דבר אחר הוא בונוס. לעשות את זה עכשיו.
הישאר חד
משתמשי OneLogin למדו לקח קשה: שום שירות אינו מאובטח במאת האחוזים. זו הייתה דרך קשה במיוחד ללמוד את השיעור הזה, אך בטווח הרחוק הוא עשוי להיות לטובה. אם אתה משתמש ב- OneLogin, אתה צריך להיות עסוק באיסוף החלקים. אם לא, שקול את עצמך בר מזל, וקח צעדים כדי לוודא שזה לא יקרה לך.
הושפעת מההאק של OneLogin? האם זה גורם לך לחשוב פעמיים על מנהלי סיסמאות או אפליקציות כניסה יחידה? שתף את מחשבותיך בתגובות למטה!
דן הוא אסטרטגיית תוכן ויועץ שיווקי המסייע לחברות לייצר ביקוש ומובילים. הוא גם מבלוג על אסטרטגיה ושיווק תוכן ב- dannalbright.com.
