PCPC.me是密码管理器的忠实拥护者。它们使您的生活更轻松,加快了许多流程并提高了安全性。但他们也会将您的敏感密码信息集中在一个地方-这很危险。
案例说明:企业级单一登录和密码管理应用的生产者OneLogin被黑客入侵了是在2017年5月31日。这真是个坏消息。这是发生的事情,应该做什么,我们可以学习一些教训。
OneLogin发生了什么?
这是OneLogin所说的:
“…a威胁参与者使用我们的AWS密钥之一从中间主机与美国的另一个较小的服务提供商通过API来访问我们的AWS平台…"
这是什么意思?这意味着有人正在浏览OneLogin的敏感数据。尽管大部分数据都是加密的,但OneLogin认为攻击者能够解密至少一些数据。
OneLogin技术人员一旦检测到入侵,便会关闭已渗透的系统。不幸的是,据报道,直到入侵开始七个小时,他们才发现入侵。攻击敏感的数据需要花费很长时间。
攻击者可能会访问哪种数据?
“威胁者能够访问包含信息的数据库表关于用户,应用程序和各种类型的键。"
虽然尚不清楚该列表的范围是什么,但肯定是很多敏感的东西。
值得称赞的是, OneLogin对此事件非常直率。他们在自己的网站上保留了更新的博客文章,就攻击事件与客户进行了交流,并提供了相关的建议。到目前为止,还没有迹象表明该公司已经掩盖了发生的事情。 (尽管他们可能在某种程度上低估了攻击的严重性。)
使用OneLogin时应采取的措施
OneLogin快速发布了指南,以帮助用户减轻攻击的影响(注册机构还将此列表发布给非客户)。该列表包括密码重置,新的身份验证令牌,摆脱安全说明以及许多其他技术性的管理员级别建议。
如果您是OneLogin的用户,则显而易见的过程操作要简单得多:更改密码并更新身份验证令牌。这将需要一段时间,但值得这样做,因为很有可能有人可以访问您存储在帐户中的所有内容。更改您的主密码,更改应用程序的密码,更改存储在OneLogin中的所有内容。
然后丢弃安全笔记。
是的,这很糟糕。但这要比让攻击者接管您的一项重要服务(或可能更糟的是勒索赎金)少得多。
我们可以从OneLogin Hack中学到什么
第一个也是最令人担忧的教训很明确:单点登录(SSO)和密码管理公司不能幸免于安全威胁。这些公司知道,安全性对他们的客户来说很重要,并且他们拥有大量有价值的信息。
但是坏事会发生。在这种情况下,使攻击者能够访问OneLogin的API密钥源于“源于美国另一家较小的服务提供商的中间主机",尽管OneLogin致力于安全性,但另一家公司的缺点可能会让攻击者进入。
不幸的是,没有一家公司能抵御黑客攻击。密码管理和SSO公司非常重视安全性,并且通常会做得很好。但这必然会发生。
前进,你能做什么?使用这些类型的服务时,请注意以下几点。
很显然,您要将密码保留在密码管理应用中。但这应该是您所有全部敏感信息的存储库吗?也许不是。
使用LastPass的安全笔记很容易,例如,保留银行帐户信息或家庭Wi-Fi密码。但是,如果该服务遭到黑客入侵,您现在将面临更多问题。您可能已经存储了信用卡信息。但是,如果您再添加一些关键信息,身份盗用就容易得多。
考虑使用另一种加密服务,该服务不会在云中存储信息,例如SplashID,或者只是加密和密码保护计算机上的文件夹。它虽然不太方便,但是可以大大减少发生违规时的难度。
SSO很棒,因为它可以节省大量时间并将密码降至最低。 OpenID,使用社交网络凭据登录以及其他类似方法非常流行。 (说实话,我自己用这些。)
更安全的选择是简单地为每个站点使用您的电子邮件地址开设一个帐户。如果您使用的是密码管理器,这很容易。不像OAuth或类似的一键式登录那样简单,但是绝对安全。
公平地说,有些人确实鼓励将单点登录用作安全实践。权衡一下您的选择。
我们已经无数次地讨论了双重身份验证,但是,如果您不熟悉它,请阅读有关它的全部内容。然后将其打开。
您应该为哪些服务使用两因素身份验证?简而言之,可以您最重要的服务,例如电子邮件,银行业务和云存储,绝对应该受到它的保护。其他任何东西都是奖励。立即进行操作。
保持敏锐度
OneLogin用户吸取了惨痛的教训:没有一项服务是100%安全的。这是学习本课程的特别苛刻的方法,但从长远来看,这可能是最好的。如果您是OneLogin用户,则应该忙于整理。如果不是,请认为自己很幸运,并采取措施确保这种情况不会发生在您身上。
标签:
