Werbung
Wir sind große Fans von Passwort-Manager Wie Passwortmanager Ihre Passwörter schützenPasswörter, die schwer zu knacken sind, sind ebenfalls schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwort-Manager. Hier erfahren Sie, wie sie funktionieren und wie sie Sie schützen. Weiterlesen hier bei MakeUseOf. Sie erleichtern Ihnen das Leben, beschleunigen viele Prozesse und verbessern Ihre Sicherheit. Sie konzentrieren aber auch Ihre vertraulichen Passwortinformationen an einem einzigen Ort - und das kann gefährlich sein.
Ein typisches Beispiel: OneLogin, Hersteller einer Single Sign-On- und Kennwortverwaltungs-App auf Unternehmensebene, wurde am 31. Mai 2017 gehackt. Und das sind wirklich schlechte Nachrichten. Hier ist, was passiert ist, was Sie tun sollten und einige Lektionen, die wir lernen können.
Was ist bei OneLogin passiert?
Folgendes sagt OneLogin:
„… Ein Bedrohungsakteur hat einen unserer AWS-Schlüssel verwendet, um von einem Zwischenhost mit einem anderen, kleineren Dienstanbieter in den USA über eine API auf unsere AWS-Plattform zuzugreifen…“
Was bedeutet das? Dies bedeutet, dass jemand die vertraulichen Daten von OneLogin durchsucht hat. Während ein Großteil dieser Daten verschlüsselt ist, glaubt OneLogin, dass die Angreifer zumindest einen Teil der Daten entschlüsseln konnten.
Sobald die OneLogin-Techniker das Eindringen bemerkten, schalteten sie die infiltrierten Systeme aus. Leider wurde berichtet, dass sie das Eindringen erst sieben Stunden nach dem Start erkannt haben. Das ist eine lange Zeit, um sensible Daten zu durchsuchen.
Auf welche Art von Daten hatten die Angreifer möglicherweise Zugriff?
"Der Bedrohungsakteur konnte auf Datenbanktabellen zugreifen, die Informationen zu Benutzern, Apps und verschiedenen Schlüsseltypen enthalten."
Es ist zwar unklar, welchen Umfang diese Liste hat, aber es handelt sich definitiv um eine Menge sensibler Dinge.
Zu ihrer Ehre hat OneLogin diesen Vorfall sehr offen aufgenommen. Sie haben eine behalten aktualisierter Blog-Beitrag auf ihrer Website mit Kunden über den Angriff kommuniziert und Ratschläge gegeben, was zu tun ist. Bisher gibt es keinen Hinweis darauf, dass das Unternehmen das Geschehene verschleiert hat. (Obwohl sie die Schwere des Angriffs vielleicht etwas heruntergespielt haben.)
Was Sie tun sollten, wenn Sie OneLogin verwenden
OneLogin veröffentlichte schnell einen Leitfaden, mit dem Benutzer die Auswirkungen des Angriffs abschwächen können (Das Register ebenfalls hat diese Liste gepostet für Nichtkunden). Die Liste enthält Kennwortrücksetzungen, neue Authentifizierungstoken, das Entfernen sicherer Notizen und eine Reihe anderer technischer Vorschläge auf Administratorebene.
Wenn Sie jedoch OneLogin verwenden, ist die offensichtliche Vorgehensweise viel einfacher: Ändern Sie Ihre Kennwörter und aktualisieren Sie Ihre Authentifizierungstoken. Es wird eine Weile dauern, aber es lohnt sich, denn es besteht eine sehr gute Chance, dass jemand Zugriff auf alles hat, was Sie in Ihrem Konto gespeichert haben. Ändern Sie Ihr Hauptkennwort, ändern Sie die Kennwörter für Ihre Apps und ändern Sie alles, was Sie in OneLogin gespeichert haben.
Und werfen Sie Ihre sicheren Notizen in den Papierkorb.
Ja, es wird scheiße. Aber es wird viel weniger scheiße sein, als wenn einer Ihrer wichtigen Dienste von einem Angreifer übernommen wird (oder, möglicherweise noch schlimmer, als Lösegeld gehalten wird).
Was wir aus dem OneLogin-Hack lernen können
Die erste und besorgniserregendste Lektion ist klar: Single Sign-On- (SSO) und Kennwortverwaltungsunternehmen sind nicht immun gegen Sicherheitsbedrohungen. Diese Unternehmen wissen, dass Sicherheit für ihre Kunden eine große Rolle spielt und dass sie über eine große Menge wertvoller Informationen verfügen.
Aber es passieren schlimme Dinge. In diesem Fall stammten die API-Schlüssel, die den Angreifern Zugriff auf OneLogin gewährten, „von einem Zwischenhost mit einem anderen, kleineren Dienstleister in den USA “ Trotz des Engagements von OneLogin für die Sicherheit haben die Mängel eines anderen Unternehmens die Angreifer möglicherweise zugelassen im.
Leider ist kein Unternehmen hackfest. Passwortverwaltung und SSO-Unternehmen nehmen die Sicherheit sehr ernst und leisten im Allgemeinen gute Arbeit. Aber das musste passieren.
Was können Sie in Zukunft tun? Hier sind einige Dinge zu beachten, wenn Sie diese Art von Diensten verwenden.
Alles an einem Ort zu speichern ist eine schlechte Idee
Natürlich werden Sie Ihre Passwörter in Ihrer Passwortverwaltungs-App behalten. Aber sollte es das Repository für sein alle Ihrer sensiblen Informationen? Vielleicht nicht.
Es ist einfach, die sicheren Notizen von LastPass zu verwenden, um beispielsweise Ihre Bankkontodaten oder Ihr WLAN-Passwort zu Hause zu speichern. Wenn dieser Dienst jedoch gehackt wird, sehen Sie sich jetzt noch mehr Probleme an. Möglicherweise sind Ihre Kreditkarteninformationen bereits gespeichert. Doch wenn Sie hinzufügen noch ein paar wichtige Informationen 10 Informationen, mit denen Sie Ihre Identität stehlen könnenIdentitätsdiebstahl kann kostspielig sein. Hier sind die 10 Informationen, die Sie zum Schutz benötigen, damit Ihre Identität nicht gestohlen wird. Weiterlesen Identitätsdiebstahl wird viel einfacher.
Erwägen Sie die Verwendung eines anderen verschlüsselten Dienstes, der keine Informationen in der Cloud speichert, z SplashID, oder nur Verschlüsseln und Kennwort schützen einen Ordner auf Ihrem Computer So schützen Sie einen Ordner mit einem Kennwort in WindowsMüssen Sie einen Windows-Ordner privat halten? Im Folgenden finden Sie einige Methoden, mit denen Sie Ihre Dateien auf einem Windows 10-PC mit einem Kennwort schützen können. Weiterlesen . Dies ist etwas weniger praktisch, kann jedoch den Schwierigkeitsgrad im Falle eines Verstoßes erheblich verringern.
Denken Sie zweimal über Single Sign-On nach
SSO ist großartig, weil es eine Menge Zeit spart und Ihre Passwörter auf ein Minimum beschränkt. OpenID, Anmelden mit Anmeldeinformationen für soziale Netzwerke Verwenden Sie Social Login? Führen Sie diese Schritte aus, um Ihre Konten zu sichernWenn Sie einen sozialen Anmeldedienst (wie Google oder Facebook) verwenden, denken Sie möglicherweise, dass alles sicher ist. Nicht so - es ist Zeit, einen Blick auf die Schwächen sozialer Logins zu werfen. Weiterlesen und andere ähnliche Methoden sind sehr beliebt. (Um ganz ehrlich zu sein, benutze ich diese selbst.)
Die sicherere Option besteht darin, einfach für jede Site ein Konto mit Ihrer E-Mail-Adresse zu eröffnen. Wenn Sie einen Passwort-Manager verwenden, ist dies einfach. Nicht ganz so einfach wie OAuth oder eine ähnliche Anmeldung mit einem Klick, aber es ist definitiv sicherer Wie Millionen von Apps für einen einzelnen Sicherheitshack anfällig sindOAuth ist ein offener Standard, mit dem Sie sich über ein Facebook-, Twitter- oder Google-Konto bei einer App oder Website eines Drittanbieters anmelden können. Er ist anfällig für Hacker. Weiterlesen .
Um fair zu sein, empfehlen einige Leute die Verwendung von Single Sign-On als Sicherheitspraxis. Wägen Sie Ihre Optionen ab.
Verwenden Sie die Zwei-Faktor-Authentifizierung für wichtige Dienste
Wir haben unzählige Male über die Zwei-Faktor-Authentifizierung gesprochen, aber wenn Sie damit nicht vertraut sind, Lesen Sie alles darüber Was ist eine Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden?Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Methoden zum Nachweis Ihrer Identität erfordert. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, ... Weiterlesen und lernen Welche Dienste können es nutzen? Sperren Sie diese Dienste jetzt mit Zwei-Faktor-AuthentifizierungDie Zwei-Faktor-Authentifizierung ist der intelligente Weg, um Ihre Online-Konten zu schützen. Werfen wir einen Blick auf einige der Dienste, die Sie mit besserer Sicherheit sperren können. Weiterlesen . Dann schalten Sie es ein.
Für welche Dienste sollten Sie die Zwei-Faktor-Authentifizierung verwenden? Kurz gesagt, so viele wie möglich. Ihre wichtigsten Dienste wie E-Mail, Banking und Cloud-Speicher sollten auf jeden Fall dadurch geschützt werden. Alles andere ist ein Bonus. Mach es jetzt.
Bleib scharf
OneLogin-Benutzer haben eine schwierige Lektion gelernt: Kein Dienst ist zu 100 Prozent sicher. Dies war eine besonders harte Art, diese Lektion zu lernen, aber auf lange Sicht mag es das Beste sein. Wenn Sie ein OneLogin-Benutzer sind, sollten Sie damit beschäftigt sein, die Teile abzuholen. Wenn dies nicht der Fall ist, können Sie sich glücklich schätzen und Maßnahmen ergreifen, um sicherzustellen, dass Ihnen dies nicht passiert.
Waren Sie vom OneLogin-Hack betroffen? Denken Sie zweimal über Passwort-Manager oder Single-Sign-On-Apps nach? Teilen Sie Ihre Gedanken in den Kommentaren unten!
Dann ist ein Content-Strategie- und Marketingberater, der Unternehmen dabei hilft, Nachfrage und Leads zu generieren. Er bloggt auch über Strategie- und Content-Marketing auf dannalbright.com.