OneLogin Hack var allvarlig och det lärde oss en lektion
Vi är stora fans av lösenordshanterare Hur lösenordshanterare håller dina lösenord säkra Hur lösenordshanterare håller dina lösenord Säkra lösenord som är svåra att spricka är också svåra att komma ihåg. Vill du vara säker? Du behöver en lösenordshanterare. Så här fungerar de och hur de håller dig trygg. Läs mer här på MakeUseOf. De gör ditt liv enklare, påskyndar mycket processer och förbättrar din säkerhet. Men de koncentrerar också din känsliga lösenordsinformation på en enda plats - och det kan vara farligt.
Fall i saken: OneLogin, producenten av en företagsnivån för enhetsloggning och lösenordshantering, hackades den 31 maj 2017. Och det är verkligen dåliga nyheter. Här är vad som hände, vad du borde göra, och några lektioner vi kan lära oss.
Vad hände på OneLogin?
Så här säger OneLogin:
“... en hotteater använde en av våra AWS-nycklar för att få tillgång till vår AWS-plattform via API från en mellan värd med en annan, mindre tjänsteleverantör i USA ... ”
Vad betyder det? Det betyder att någon tittade igenom OneLogins känsliga data. Och medan mycket av den data krypteras, anser OneLogin att angriparna kunde dekryptera åtminstone några av data.
Så snart OneLogin techs upptäckte intrånget stängde de systemen som infiltrerades. Tyvärr har det rapporterats att de inte upptäckte intrånget förrän sju timmar efter det att det började. Det är länge att koka genom känsliga data.
Vilken typ av data kan angriparna ha haft tillgång till?
“Hot actor kunde komma åt databas tabeller som innehåller information om användare, appar och olika typer av nycklar.”
Även om det är oklart exakt vad omfattningen av den listan är, är det definitivt en massa känsliga saker.
Till deras kredit har OneLogin varit mycket uppriktig om denna incident. De har hållit ett uppdaterat blogginlägg på sin webbplats, kommunicerat med kunderna om attacken och gav råd om vad de ska göra. Det finns ingen indikation så långt att företaget har förvirrat vad som hände. (Även om de kanske har nedslagit allvaret av attacken något.)
Vad du ska göra om du använder OneLogin
OneLogin släppte snabbt en guide för att hjälpa användare att mildra effekterna av attacken (Registret har också lagt upp den här listan för icke-kunder). Listan innehåller lösenordsåterställningar, nya autentiseringsbuller, avfärdiga säkra anteckningar och ett antal andra tekniska förslag på administratörsnivå.
Om du är en användare av OneLogin är det uppenbart att det är enklare: ändra dina lösenord och uppdatera dina autentiseringstoken. Det kommer att ta ett tag, men det är värt att göra, för det finns en mycket bra chans att någon har tillgång till allt du har lagrat i ditt konto. Ändra ditt huvudlösenord, ändra lösenord till dina appar, ändra allt som du lagrade i OneLogin.
Och skräp dina säkra anteckningar.
Ja, det kommer att suga. Men det kommer att suga mycket mindre än att ha en av dina viktiga tjänster som tagits över av en angripare (eller, kanske värre, hållen för lösen).
Vad vi kan lära av från OneLogin Hack
Den första och mest oroande lektionen är tydlig: SSO-företag och lösenordshanteringsföretag är inte immun mot säkerhetshot. Dessa företag vet att säkerhet är en stor sak för sina kunder, och att de har en stor mängd värdefull information.
Men dåliga saker händer. I det här fallet har API-nycklarna som gav attackerna tillgång till OneLogin sitt ursprung “från en mellanliggande värd med en annan, mindre tjänsteleverantör i USA.” Trots OneLogins engagemang för säkerheten kan ett annat företags brister ha låtit angriparna komma in.
Tyvärr är inget företag hacktätt. Lösenordshantering och SSO-företag tar säkerhet mycket allvarligt, och brukar göra ett bra jobb med det. Men det var tvunget att hända.
Kommer du framåt, vad kan du göra? Här är några saker att tänka på när du använder dessa typer av tjänster.
Att lagra allt på ett ställe är en dålig idé
Självklart kommer du att behålla dina lösenord i din lösenordshanteringsapp. Men ska det vara förvaret för Allt av din känsliga information? Kanske inte.
Det är lätt att använda LastPass säkra anteckningar, till exempel för att hålla din bankkontoinformation eller ditt hem Wi-Fi-lösenord. Men om den tjänsten blir hackad tittar du på ännu fler problem. Du kanske har sparat dina kreditkortsuppgifter redan. Ändå om du lägger till några få nyckeltal av information 10 stycken information som används för att stjäla din identitet 10 bitar av information som används för att stjäla din identitet Enligt amerikanska justitiedepartementet kostar identitetsstöld offer över 24 miljarder dollar 2012 , mer än hushållsinbrott, motor och fastighetsstöld kombinerat. Dessa 10 bitar av information är vilka tjuvar ser ... Läs mer, identitetsstöld blir mycket lättare.
Överväg att använda en annan krypterad tjänst som inte lagrar information i molnet, som SplashID, eller bara kryptera och lösenordsskydda en mapp på din dator. Hur man lösenord skyddar en mapp i Windows. Hur man löser Skydda en mapp i Windows Behöver du behålla Windows mapp privat? Här är några metoder du kan använda för att lösenordsskydda dina filer på en Windows 10-dator. Läs mer . Det är lite mindre bekvämt, men det kan avsevärt minska svårighetsgraden vid brott.
Tänk två gånger om ett inloggning
SSO är bra eftersom det sparar mycket tid och håller dina lösenord till ett minimum. OpenID, loggar in med sociala nätverksuppgifter med hjälp av social inloggning? Ta dessa steg för att säkra dina konton med hjälp av social inloggning? Ta dessa steg för att säkra dina konton Om du använder en social inloggningstjänst (till exempel Google eller Facebook) kan du tro att allt är säkert. Inte så - det är dags att ta en titt på svagheterna i sociala logins. Läs mer, och andra liknande metoder är ganska populära. (För att vara helt ärlig använder jag dessa själv.)
Det säkrare alternativet är att helt enkelt öppna ett konto med din e-postadress för varje webbplats. Om du använder en lösenordshanterare är det enkelt. Inte lika lätt som OAuth eller ett liknande ett-klick-inloggning, men det är definitivt säkrare Hur miljontals program är utsatta för en enda säkerhetshack Hur miljontals program är utsatta för en säkerhetshack OAuth är en öppen standard som används för att tillåter dig att logga in på en tredje parts app eller webbplats med hjälp av ett Facebook, Twitter eller Google-konto - och det är sårbart för hackare. Läs mer .
För att vara rättvis uppmuntrar vissa människor användningen av enstaka inloggning som en säkerhetspraxis. Väg dina alternativ.
Använd tvåfaktorautentisering på viktiga tjänster
Vi har pratat om tvåfaktors autentisering otaliga gånger, men om du inte är bekant med det, läs allt om det. Vad är tvåfaktorautentisering och varför du borde använda det Vad är tvåfaktorautentisering och varför du borde Använd det Tvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. Till exempel betalar du med ett kreditkort krävs inte bara kortet, ... Läs mer och lär dig vilka tjänster som kan användas. Låsa ner dessa tjänster nu med tvåfaktorautentisering Låsa ner dessa tjänster nu med tvåfaktorautentisering Tvåfaktorautentisering är smart sätt att skydda dina onlinekonton. Låt oss ta en titt på några av de tjänster du kan locka ner med bättre säkerhet. Läs mer . Slå sedan på den.
Vilka tjänster ska du använda tvåfaktors autentisering för? Kort sagt, så många som du kan. Dina viktigaste tjänster, som e-post, bank och molnlagring, borde definitivt skyddas av den. Något annat är en bonus. Gör det nu.
Håll dig skarp
OneLogin-användare lärde sig en svår lektion: ingen tjänst är 100 procent säker. Detta var ett särskilt hårdt sätt att lära sig denna lektion, men i det långa loppet kan det vara det bästa. Om du är en OneLogin-användare, borde du vara upptagen med att plocka upp bitarna. Om du inte är, anser dig själv lycklig och vidta åtgärder för att se till att det inte händer dig.
Var du påverkad av OneLogin hack? Gör det att du tänker två gånger om lösenordshanterare eller enskilda inloggningsappar? Dela dina tankar i kommentarerna nedan!
Utforska mer om: Lösenordshanteraren.