Annons
Vi är stora fans av lösenordshanterare Hur lösenordshanterare håller dina lösenord säkraLösenord som är svåra att knäcka är också svåra att komma ihåg. Vill du vara säker? Du behöver en lösenordshanterare. Så här fungerar de och hur de skyddar dig. Läs mer här på MakeUseOf. De gör ditt liv enklare, påskyndar många processer och förbättrar din säkerhet. Men de koncentrerar också din känsliga lösenordsinformation på ett enda ställe - och det kan vara farligt.
Exempel på sak: OneLogin, tillverkaren av en engångsinloggnings- och lösenordshanteringsapp för företag, hackades den 31 maj 2017. Och det är verkligen dåliga nyheter. Här är vad som hände, vad du bör göra och några lektioner vi kan lära oss.
Vad hände med OneLogin?
Så här säger OneLogin:
"... en hotaktör använde en av våra AWS-nycklar för att få tillgång till vår AWS-plattform via API från en mellanhost med en annan, mindre tjänsteleverantör i USA ..."
Vad betyder det? Det betyder att någon tittade igenom OneLogins känsliga data. Och medan mycket av den informationen är krypterad tror OneLogin att angriparna kunde avkryptera åtminstone en del av uppgifterna.
Så snart OneLogin-tekniker upptäckte intrång stängde de av systemen som var infiltrerade. Tyvärr har det rapporterats att de inte upptäckte intrång förrän sju timmar efter det började. Det är länge att titta på känslig information.
Vilken typ av data kan angriparna ha haft tillgång till?
"Hotaktören kunde komma åt databastabeller som innehåller information om användare, appar och olika typer av nycklar."
Det är oklart exakt vad omfattningen för listan är, men det är definitivt mycket känsliga saker.
Till deras kredit har OneLogin varit mycket uppriktiga om denna incident. De har hållit en uppdaterat blogginlägg på deras webbplats, kommunicerade med kunder om attacken och gav råd om vad de ska göra. Det finns inget som tyder på att företaget har dumpt på vad som hände. (Trots att de kanske har bagatelliserat allvarligheten i attacken något.)
Vad du ska göra om du använder OneLogin
OneLogin släppte snabbt en guide som hjälper användare att mildra eventuella effekter av attacken (Registret också publicerade denna lista för icke-kunder). Listan innehåller återställningar av lösenord, nya autentiseringstokens, att bli av med säkra anteckningar och ett antal andra tekniska förslag på administratörsnivå.
Men om du är en användare av OneLogin, är den uppenbara handlingen mycket enklare: ändra dina lösenord och uppdatera dina autentiseringstokens. Det kommer att ta ett tag, men det är värt att göra, eftersom det finns en mycket god chans att någon har tillgång till allt du har lagrat i ditt konto. Ändra ditt huvudlösenord, ändra lösenorden till dina appar, ändra allt du lagrade i OneLogin.
Och skräp dina säkra anteckningar.
Ja, det kommer att suga. Men det kommer att suga mycket mindre än att ha en av dina viktiga tjänster tagit över av en angripare (eller, kanske värre, hållen för lösen).
Vad vi kan lära oss av OneLogin Hack
Den första och mest oroande lektionen är tydlig: företag med enkel inloggning (SSO) och lösenordshantering är inte immun mot säkerhetshot. Dessa företag vet att säkerhet är en stor affär för sina kunder och att de har en enorm mängd värdefull information.
Men dåliga saker händer. I detta fall har API-nycklarna som gav angriparna tillgång till OneLogin sitt ursprung "från en mellanliggande värd med en annan, mindre tjänsteleverantör i USA. ” Trots OneLogins engagemang för säkerhet kan ett annat företags brister ha lett till angriparna i.
Tyvärr är inget företag hackfast. Lösenordshantering och SSO-företag tar säkerheten mycket på allvar och gör i allmänhet ett bra jobb med det. Men detta skulle säkert hända.
Vad kan du göra framöver? Här är några saker att tänka på när du använder dessa typer av tjänster.
Att lagra allt på ett ställe är en dålig idé
Uppenbarligen kommer du att behålla dina lösenord i din lösenordshanteringsapp. Men borde det vara förvaret för Allt av din känsliga information? Kanske inte.
Det är lätt att använda LastPass säkra anteckningar, till exempel för att behålla dina bankkontouppgifter eller ditt hem Wi-Fi-lösenord. Men om den tjänsten blir hackad tittar du nu på ännu fler problem. Du kan ha din kreditkortsinformation redan lagrad. Ändå om du lägger till några fler viktiga informationer 10 bitar information som används för att stjäla din identitetIdentitetsstöld kan vara kostsamt. Här är de tio informationen du behöver för att skydda så att din identitet inte blir stulen. Läs mer , identitetsstöld blir mycket enklare.
Överväg att använda en annan krypterad tjänst som inte lagrar information i molnet, till exempel SplashID, eller bara kryptera och lösenordsskydda en mapp på din dator Hur du lösenordsskyddar en mapp i WindowsBehöver du hålla en Windows-mapp privat? Här är några metoder du kan använda för att lösenordsskydda dina filer på en Windows 10-dator. Läs mer . Det är lite mindre bekvämt, men det kan minska svårighetsgraden avsevärt vid överträdelse.
Tänk två gånger på enkelinloggning
SSO är utmärkt eftersom det sparar massor av tid och håller dina lösenord till ett minimum. OpenID, logga in med sociala nätverksuppgifter Använder du social inloggning? Ta dessa steg för att säkra dina kontonOm du använder en social inloggningstjänst (som Google eller Facebook) kanske du tror att allt är säkert. Inte så - det är dags att titta på svagheterna i sociala inloggningar. Läs mer och andra liknande metoder är ganska populära. (För att vara helt ärlig använder jag dessa själv.)
Det säkrare alternativet är att helt enkelt öppna ett konto med din e-postadress för varje webbplats. Om du använder en lösenordshanterare är det enkelt. Inte lika lätt som OAuth eller liknande inloggning med ett klick, men det är det definitivt säkrare Hur miljoner appar kan vara sårbara för en enda säkerhetshackOAuth är en öppen standard som används för att låta dig logga in på en tredjepartsapp eller webbplats genom att använda ett Facebook-, Twitter- eller Google-konto - och det är sårbart för hackare. Läs mer .
För att vara rättvis uppmuntrar vissa människor användningen av enkel inloggning som säkerhetspraxis. Väg dina alternativ.
Använd autentisering med två faktorer för viktiga tjänster
Vi har talat om tvåfaktorsautentisering otaliga gånger, men om du inte är bekant med det, Läs allt om det Vad är tvåfaktorautentisering och varför du ska använda denTvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Att till exempel betala med kreditkort kräver inte bara kortet, ... Läs mer och lär vilka tjänster som kan använda den Lås ner dessa tjänster nu med tvåfaktorautentiseringTvåfaktorautentisering är det smarta sättet att skydda dina onlinekonton. Låt oss ta en titt på några av de tjänster du kan låsa ner med bättre säkerhet. Läs mer . Slå sedan på den.
Vilka tjänster ska du använda tvåfaktorautentisering för? Kort sagt, så många du kan. Dina viktigaste tjänster, som e-post, bank och molnlagring, bör definitivt skyddas av dem. Allt annat är en bonus. Gör det nu.
Håll dig skarp
OneLogin-användare lärde sig en svår lektion: ingen tjänst är 100 procent säker. Detta var ett särskilt hårt sätt att lära sig den här lektionen, men på lång sikt kan det vara för det bästa. Om du är OneLogin-användare bör du bli upptagen med att plocka upp bitarna. Om du inte är det, anser du vara lycklig och vidta åtgärder för att se till att det inte händer dig.
Påverkades du av OneLogin-hacket? Får det dig att tänka två gånger på lösenordshanterare eller appar med en enda inloggning? Dela dina tankar i kommentarerna nedan!
Dann är en innehållsstrategi och marknadskonsult som hjälper företag att skapa efterfrågan och leder. Han bloggar också om strategi och innehållsmarknadsföring på dannalbright.com.