Advertentie

We zijn grote fans van wachtwoordmanagers Hoe wachtwoordmanagers uw wachtwoorden veilig houdenWachtwoorden die moeilijk te kraken zijn, zijn ook moeilijk te onthouden. Wil je veilig zijn? U heeft een wachtwoordbeheerder nodig. Hier leest u hoe ze werken en hoe ze u beschermen. Lees verder hier bij MakeUseOf. Ze maken uw leven gemakkelijker, versnellen veel processen en verbeteren uw beveiliging. Maar ze concentreren ook uw gevoelige wachtwoordinformatie op één plek - en dat kan gevaarlijk zijn.

Voorbeeld: OneLogin, de producent van een enterprise-level single sign-on en wachtwoordbeheer-app, werd gehackt op 31 mei 2017. En dat is echt slecht nieuws. Dit is wat er is gebeurd, wat u moet doen en enkele lessen die we kunnen leren.

Wat is er gebeurd bij OneLogin?

Dit is wat OneLogin zegt:

"... een bedreigingsacteur gebruikte een van onze AWS-sleutels om via API toegang te krijgen tot ons AWS-platform van een tussenliggende host bij een andere, kleinere serviceprovider in de VS ..."

Wat betekent dat? Het betekent dat iemand de gevoelige gegevens van OneLogin doorzocht. En hoewel veel van die gegevens versleuteld zijn, is OneLogin van mening dat de aanvallers ten minste een deel van de gegevens hebben kunnen ontsleutelen.

instagram viewer

Zodra de OneLogin-technici de inbraak ontdekten, schakelden ze de geïnfiltreerde systemen uit. Helaas is gemeld dat ze de inbraak pas zeven uur na het begin ervan hebben gedetecteerd. Dat is een lange tijd om door gevoelige gegevens te bladeren.

Tot wat voor soort gegevens hadden de aanvallers toegang gehad?

"De bedreigingsacteur had toegang tot databasetabellen die informatie bevatten over gebruikers, apps en verschillende soorten sleutels."

Hoewel het onduidelijk is wat de reikwijdte van die lijst is, zijn het zeker veel gevoelige dingen.

Het is hun verdienste dat OneLogin heel openhartig is geweest over dit incident. Ze hebben een bijgewerkte blogpost op hun site, communiceerden met klanten over de aanval en gaven advies over wat te doen. Er is tot dusver geen indicatie dat het bedrijf heeft verduisterd wat er is gebeurd. (Hoewel ze de ernst van de aanval misschien enigszins hebben afgezwakt.)

Wat u moet doen als u OneLogin gebruikt

OneLogin heeft snel een handleiding uitgebracht om gebruikers te helpen eventuele effecten van de aanval te verzachten (Het register ook heeft deze lijst geplaatst voor niet-klanten). De lijst bevat wachtwoordresets, nieuwe authenticatietokens, het verwijderen van beveiligde notities en een aantal andere technische suggesties op beheerdersniveau.

onelogin hack

Als u echter een gebruiker van OneLogin bent, is de voor de hand liggende manier van handelen veel eenvoudiger: verander uw wachtwoorden en werk uw authenticatietokens bij. Het duurt even, maar het is de moeite waard om te doen, want de kans is groot dat iemand toegang heeft tot alles wat je in je account hebt opgeslagen. Verander uw hoofdwachtwoord, verander de wachtwoorden in uw apps, verander alles wat u in OneLogin hebt opgeslagen.

En gooi je beveiligde notities weg.

Ja, het gaat zuigen. Maar het zal veel minder waard zijn dan wanneer een van uw belangrijke services wordt overgenomen door een aanvaller (of, erger nog, wordt vastgehouden voor losgeld).

Wat we kunnen leren van de OneLogin-hack

De eerste en meest zorgwekkende les is duidelijk: bedrijven met eenmalige aanmelding (SSO) en wachtwoordbeheer zijn niet immuun voor beveiligingsbedreigingen. Deze bedrijven weten dat beveiliging een groot probleem is voor hun klanten en dat ze een enorme hoeveelheid waardevolle informatie bevatten.

Maar er gebeuren slechte dingen. In dit geval waren de API-sleutels die de aanvallers toegang tot OneLogin gaven afkomstig van "een tussenliggende host met een andere, kleinere serviceprovider in de Verenigde Staten " Ondanks de toewijding van OneLogin aan beveiliging, hebben de tekortkomingen van een ander bedrijf de aanvallers mogelijk ertoe gebracht in.

Helaas is geen enkel bedrijf hackbestendig. Wachtwoordbeheer en SSO-bedrijven nemen beveiliging zeer serieus en doen dit over het algemeen goed. Maar dit zou zeker gebeuren.

Wat kunt u in de toekomst doen? Hier zijn een paar dingen waar u rekening mee moet houden bij het gebruik van dit soort services.

Alles op één plek opslaan is een slecht idee

Uiteraard bewaar je je wachtwoorden in je wachtwoordbeheer-app. Maar moet het de opslagplaats zijn voor allemaal van uw gevoelige informatie? Misschien niet.

Het is gemakkelijk om LastPass's beveiligde notities te gebruiken, bijvoorbeeld om uw bankrekeninggegevens of uw Wi-Fi-wachtwoord thuis te bewaren. Maar als die service wordt gehackt, kijk je nu naar nog meer problemen. Mogelijk hebt u uw creditcardgegevens al opgeslagen. Maar als je toevoegt nog een paar belangrijke stukjes informatie 10 stukjes informatie die worden gebruikt om uw identiteit te stelenIdentiteitsdiefstal kan kostbaar zijn. Hier zijn de 10 stukjes informatie die u moet beschermen, zodat uw identiteit niet wordt gestolen. Lees verder wordt identiteitsdiefstal veel gemakkelijker.

Overweeg een andere gecodeerde service te gebruiken die geen informatie in de cloud opslaat, zoals SplashID, of gewoon versleutelen en wachtwoord beveiligen een map op uw computer Hoe een map met een wachtwoord te beveiligen in WindowsWilt u een Windows-map privé houden? Hier zijn een paar methoden die u kunt gebruiken om uw bestanden met een wachtwoord te beveiligen op een Windows 10-pc. Lees verder . Het is iets minder handig, maar het kan de moeilijkheidsgraad bij een inbreuk aanzienlijk verminderen.

Denk twee keer na over Single Sign-On

SSO is geweldig omdat het een hoop tijd bespaart en uw wachtwoorden tot een minimum beperkt. OpenID, inloggen met inloggegevens voor sociale netwerken Gebruikt u Social Login? Voer deze stappen uit om uw accounts te beveiligenAls u een sociale inlogservice gebruikt (zoals Google of Facebook), denkt u misschien dat alles veilig is. Niet zo - het is tijd om de zwakke punten van sociale logins te bekijken. Lees verder en andere vergelijkbare methoden zijn behoorlijk populair. (Om eerlijk te zijn, ik gebruik deze zelf.)

eenmalige aanmelding google

De veiligere optie is om voor elke site eenvoudig een account met uw e-mailadres te openen. Als u een wachtwoordbeheerder gebruikt, is dit eenvoudig. Niet zo eenvoudig als OAuth of een vergelijkbare aanmelding met één klik, maar het is zeker veiliger Hoe miljoenen apps kwetsbaar zijn voor een enkele beveiligingshackOAuth is een open standaard waarmee u kunt inloggen op een app of website van derden met een Facebook-, Twitter- of Google-account - en het is kwetsbaar voor hackers. Lees verder .

Om eerlijk te zijn, sommige mensen moedigen het gebruik van eenmalige aanmelding aan als beveiligingspraktijk. Weeg uw opties af.

Gebruik authenticatie in twee stappen op belangrijke services

We hebben talloze keren over tweefactorauthenticatie gesproken, maar als u er niet bekend mee bent, Lees er alles over Wat is tweefactorauthenticatie en waarom u deze moet gebruikenTwee-factor-authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt veel gebruikt in het dagelijks leven. Betalen met een creditcard vereist bijvoorbeeld niet alleen de kaart, ... Lees verder en leren welke diensten er gebruik van kunnen maken Vergrendel deze services nu met authenticatie in twee stappenTweefactorauthenticatie is de slimme manier om uw online accounts te beschermen. Laten we eens kijken naar enkele van de services die u kunt vergrendelen met betere beveiliging. Lees verder . Zet hem dan aan.

Voor welke services moet u tweefactorauthenticatie gebruiken? Kortom, zoveel als je kunt. Uw belangrijkste services, zoals e-mail, bankieren en cloudopslag, moeten er zeker door worden beschermd. Al het andere is een bonus. Doe het nu.

Blijf scherp

OneLogin-gebruikers hebben een harde les geleerd: geen enkele service is 100 procent veilig. Dit was een bijzonder harde manier om deze les te leren, maar op de lange termijn is het misschien het beste. Als je een OneLogin-gebruiker bent, moet je druk bezig zijn met het ophalen van de stukjes. Als je dat niet bent, beschouw jezelf dan als een geluksvogel en onderneem stappen om ervoor te zorgen dat het jou niet overkomt.

Was u getroffen door de OneLogin-hack? Laat u zich twee keer nadenken over wachtwoordmanagers of apps voor eenmalige aanmelding? Deel uw mening in de onderstaande opmerkingen!

Dann is een contentstrategie- en marketingconsultant die bedrijven helpt bij het genereren van vraag en leads. Hij blogt ook over strategie en contentmarketing op dannalbright.com.