我们是MakeUseOf密码管理器的忠实粉丝。他们让你的生活更轻松，加快了很多进程，提高了你的安全性。但是他们也会把你的敏感密码信息集中在一个地方——这可能很危险。

案例：企业级单点登录和密码管理应用程序的生产商OneLogin于2017年5月31日遭到黑客攻击。这真是个坏消息。以下是发生的事情，你应该做的，以及我们可以学到的一些教训。

在onelogin发生了什么？

OneLogin是这么说的：

"...a threat actor used one of our AWS keys to gain access to our AWS platform via API from an intermediate host with another, **aller service provider in the US..."

那是什么意思？这意味着有人在查看OneLogin的敏感数据。尽管大部分数据都是加密的，但OneLogin相信攻击者至少能够解密部分数据。

一旦OneLogin技术人员检测到入侵，他们就会关闭被入侵的系统。不幸的是，据报道，他们直到入侵开始7小时后才发现入侵。这是一个很长的时间戳通过敏感数据。

攻击者可以访问哪些类型的数据？

"The threat actor was able to access database tables that contain information about users, apps, and various types of keys."

虽然目前还不清楚这份名单的具体范围，但肯定是很多敏感的东西。

值得赞扬的是，OneLogin对这一事件非常直率。他们在自己的网站上发布了最新的博客文章，与客户就攻击事件进行了沟通，并提供了建议。到目前为止，还没有迹象表明该公司混淆了所发生的事情。（尽管他们可能有点低估了这次袭击的严重性。）

如果使用onelogin，您应该怎么做

OneLogin很快发布了一个指南，帮助用户减轻攻击的任何影响（注册中心还为非客户发布了此列表）。该列表包括密码重置、新的身份验证令牌、删除安全注释，以及许多其他技术、管理员级别的建议。

不过，如果您是OneLogin的用户，那么明显的操作过程要简单得多：更改密码并更新身份验证令牌。这将需要一段时间，但这是值得做的，因为有一个非常好的机会，有人可以访问你的帐户中存储的一切。更改主密码，更改应用程序的密码，更改存储在OneLogin中的所有内容。

扔掉你的安全笔记。

是的，会很糟糕的。但这比让攻击者接管你的一项重要服务要糟糕得多（或者，可能更糟，被勒索赎金）。

我们可以从onelogin黑客学到什么

第一个也是最令人担忧的教训是很清楚的：单点登录（SSO）和密码管理公司并不能免受安全威胁的影响。这些公司知道安全性对他们的客户来说是一件大事，他们持有大量有价值的信息。

但坏事总会发生。在本例中，允许攻击者访问OneLogin的API密钥源于“美国另一个较小服务提供商的中间主机”。尽管OneLogin致力于安全，但另一家公司的缺陷可能让攻击者进入。

不幸的是，没有一家公司是防黑客的。密码管理和SSO公司对安全性非常重视，一般都做得很好。但这是必然的。

向前看，你能做什么？在使用这些类型的服务时，需要记住以下几点。

把所有东西都放在一个地方是个坏主意

显然，你要把你的密码保存在你的密码管理应用程序中。但它应该是你所有敏感信息的存储库吗？也许不是。

使用LastPass的安全便笺很容易，例如，保存您的银行帐户信息或您的家庭Wi-Fi密码。但如果这项服务遭到黑客攻击，你现在会看到更多的问题。您可能已经存储了您的信用卡信息。然而，如果你再添加一些关键信息，身份盗窃就会变得容易得多。

考虑使用另一个不在云中存储信息的加密服务，比如SplashID，或者只对计算机上的文件夹进行加密和密码保护。它稍微不那么方便，但是它可以显著减少在出现漏洞的情况下的难度。

单点登录要三思而后行

单点登录之所以伟大，是因为它节省了大量的时间，并将您的密码保持在最低限度。OpenID、使用社交网络凭据登录以及其他类似的方法非常流行。（说实话，我自己用的。）

更安全的选择是，只需为每个网站开设一个带有电子邮件地址的帐户。如果您使用的是密码管理器，这很简单。虽然不像OAuth或类似的一键登录那么简单，但绝对更安全。

公平地说，有些人确实鼓励使用单点登录作为安全实践。权衡你的选择。

对重要服务使用双因素身份验证

我们已经无数次地讨论了双因素身份验证，但是如果您不熟悉它，请阅读所有关于它的内容，并了解哪些服务可以使用它。然后打开它。

哪些服务应该使用双因素身份验证？简而言之，尽可能多。你最重要的服务，如电子邮件、银行和云存储，肯定应该受到它的保护。其他的都是奖励。现在就做。

保持敏锐

OneLogin用户学到了一个惨痛的教训：没有任何服务是100%安全的。这是一个特别严酷的方式来吸取教训，但从长远来看，这可能是最好的。如果你是一个OneLogin用户，你应该忙着收拾残局。如果你不是，就认为自己很幸运，并采取措施确保它不会发生在你身上。

你是否受到了OneLogin黑客的影响？它是否会让你对密码管理器或单点登录应用程序三思而后行？在下面的评论中分享你的想法！