我们是MakeUseOf密码管理器的忠实粉丝。他们让你的生活更轻松,加快了很多进程,提高了你的安全性。但是他们也会把你的敏感密码信息集中在一个地方——这可能很危险。
案例:企业级单点登录和密码管理应用程序的生产商OneLogin于2017年5月31日遭到黑客攻击。这真是个坏消息。以下是发生的事情,你应该做的,以及我们可以学到的一些教训。
OneLogin是这么说的:
"...a threat actor used one of our AWS keys to gain access to our AWS platform via API from an intermediate host with another, **aller service provider in the US..."
那是什么意思?这意味着有人在查看OneLogin的敏感数据。尽管大部分数据都是加密的,但OneLogin相信攻击者至少能够解密部分数据。
一旦OneLogin技术人员检测到入侵,他们就会关闭被入侵的系统。不幸的是,据报道,他们直到入侵开始7小时后才发现入侵。这是一个很长的时间戳通过敏感数据。
攻击者可以访问哪些类型的数据?
"The threat actor was able to access database tables that contain information about users, apps, and various types of keys."
虽然目前还不清楚这份名单的具体范围,但肯定是很多敏感的东西。
值得赞扬的是,OneLogin对这一事件非常直率。他们在自己的网站上发布了最新的博客文章,与客户就攻击事件进行了沟通,并提供了建议。到目前为止,还没有迹象表明该公司混淆了所发生的事情。(尽管他们可能有点低估了这次袭击的严重性。)
OneLogin很快发布了一个指南,帮助用户减轻攻击的任何影响(注册中心还为非客户发布了此列表)。该列表包括密码重置、新的身份验证令牌、删除安全注释,以及许多其他技术、管理员级别的建议。
不过,如果您是OneLogin的用户,那么明显的操作过程要简单得多:更改密码并更新身份验证令牌。这将需要一段时间,但这是值得做的,因为有一个非常好的机会,有人可以访问你的帐户中存储的一切。更改主密码,更改应用程序的密码,更改存储在OneLogin中的所有内容。
扔掉你的安全笔记。
是的,会很糟糕的。但这比让攻击者接管你的一项重要服务要糟糕得多(或者,可能更糟,被勒索赎金)。
第一个也是最令人担忧的教训是很清楚的:单点登录(SSO)和密码管理公司并不能免受安全威胁的影响。这些公司知道安全性对他们的客户来说是一件大事,他们持有大量有价值的信息。
但坏事总会发生。在本例中,允许攻击者访问OneLogin的API密钥源于“美国另一个较小服务提供商的中间主机”。尽管OneLogin致力于安全,但另一家公司的缺陷可能让攻击者进入。
不幸的是,没有一家公司是防黑客的。密码管理和SSO公司对安全性非常重视,一般都做得很好。但这是必然的。
向前看,你能做什么?在使用这些类型的服务时,需要记住以下几点。
显然,你要把你的密码保存在你的密码管理应用程序中。但它应该是你所有敏感信息的存储库吗?也许不是。
使用LastPass的安全便笺很容易,例如,保存您的银行帐户信息或您的家庭Wi-Fi密码。但如果这项服务遭到黑客攻击,你现在会看到更多的问题。您可能已经存储了您的信用卡信息。然而,如果你再添加一些关键信息,身份盗窃就会变得容易得多。
考虑使用另一个不在云中存储信息的加密服务,比如SplashID,或者只对计算机上的文件夹进行加密和密码保护。它稍微不那么方便,但是它可以显著减少在出现漏洞的情况下的难度。
单点登录之所以伟大,是因为它节省了大量的时间,并将您的密码保持在最低限度。OpenID、使用社交网络凭据登录以及其他类似的方法非常流行。(说实话,我自己用的。)
更安全的选择是,只需为每个网站开设一个带有电子邮件地址的帐户。如果您使用的是密码管理器,这很简单。虽然不像OAuth或类似的一键登录那么简单,但绝对更安全。
公平地说,有些人确实鼓励使用单点登录作为安全实践。权衡你的选择。
我们已经无数次地讨论了双因素身份验证,但是如果您不熟悉它,请阅读所有关于它的内容,并了解哪些服务可以使用它。然后打开它。
哪些服务应该使用双因素身份验证?简而言之,尽可能多。你最重要的服务,如电子邮件、银行和云存储,肯定应该受到它的保护。其他的都是奖励。现在就做。
OneLogin用户学到了一个惨痛的教训:没有任何服务是100%安全的。这是一个特别严酷的方式来吸取教训,但从长远来看,这可能是最好的。如果你是一个OneLogin用户,你应该忙着收拾残局。如果你不是,就认为自己很幸运,并采取措施确保它不会发生在你身上。
你是否受到了OneLogin黑客的影响?它是否会让你对密码管理器或单点登录应用程序三思而后行?在下面的评论中分享你的想法!
当你想到智能家居黑客,你可能不会想到汉堡王。事实上,你可能根本不会想到智能家居黑客攻击。为什么会有人想进入你的恒温器或门铃? ...
...。个人数据和业务/专业数据也可能存储在您的**上。这对黑客来说意味着双倍的薪水,而对你来说则是双倍的风险。 ...
如果你是一个有道德的黑客,你很难在不伤害任何人的情况下测试自己的技能。幸运的是,很多网站教你如何学会合法黑客,并给你一个沙箱来尝试你的技能。 ...
很难不把黑客想象成戴着兜帽,在黑暗的房间里用晦涩难懂的代码打字的阴暗人物。但并非所有的黑客都是恶意的。一些人甚至在“道德黑客”的保护伞下为人类谋福利 ...
当你想到一个黑客,你可能会想象一个阴暗的人物谁是不好的。又是时候了:有道德的黑客也存在,他们的目标是找到可以修复而不是利用的安全问题。 ...
企业家、黑客和有抱负的政治家Kim Dotcom曾表示,他打算推出一项开源、非盈利的云存储服务,该服务将效仿他之前的文件共享网站Megaupload和Mega。在用户主导的Q&Slashdot网站的一位发言人说,自从离开Mega后,他不再信任这...
...了所有浪漫的暗示。 三个星期后,我鼓起勇气把戒指给了她。她打开门,接过盒子,说了声谢谢,我们再也没有提起过。我立刻知道我犯了个错误。当她的手缠着盒子时,有东西掉了。那天晚上,我向我的父母解释了我所做...
机器人先生是一个建立在黑客基础上的节目。《黑客之母》是该剧第一季结束时的一大悬念,几乎每一个情节发展都受到某种剥削。很少有人能在没有至少一次数字入侵的情况下看完一集,这些入侵通常来自现实生活。每个星期...
...量——社会政治趋势、政党最近的行为、外国**的干涉和黑客攻击,这部电影做了一件更邪恶的事情:它给人的印象是,导致选举结果的只是一些不可知的特朗普式的魔力。再加上完整的标题——《特朗普:史上最严重的政治动...
跑步受伤最严重。它们会削弱你的动力,迫使你坐在一旁,看着你辛苦赚来的体能付诸东流。如果你和我一样的话,你的跑步伤病让你的跑步目标很快结束。这个帖子最初出现在《力量跑》上。事实上,我曾经长期陷入一个无休...