De OneLogin-hack was serieus en het heeft ons een les geleerd
We zijn grote fans van wachtwoordbeheerders Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Wachtwoorden die moeilijk te kraken zijn, zijn ook moeilijk te onthouden. Wil je veilig zijn? U hebt een wachtwoordbeheerder nodig. Dit is hoe ze werken en hoe ze je beschermen. Lees hier meer bij MakeUseOf. Ze maken uw leven eenvoudiger, versnellen veel processen en verbeteren uw beveiliging. Maar ze concentreren ook uw gevoelige wachtwoordinformatie op één plek - en dat kan gevaarlijk zijn.
Voorbeeld: OneLogin, de producent van een app voor single sign-on en wachtwoordbeheer op ondernemingsniveau, is op 31 mei 2017 gehackt. En dat is echt slecht nieuws. Dit is wat er is gebeurd, wat je moet doen en wat lessen die we kunnen leren.
What Happened bij OneLogin?
Dit is wat OneLogin zegt:
“... een bedreigingsacteur gebruikte een van onze AWS-sleutels om via API toegang te krijgen tot ons AWS-platform van een tussengastheer met een andere, kleinere serviceprovider in de VS ... ”
Wat betekent dat? Het betekent dat iemand de gevoelige gegevens van OneLogin doorzocht. En hoewel veel van die gegevens zijn gecodeerd, gelooft OneLogin dat de aanvallers tenminste een deel van de gegevens konden ontsleutelen.
Zodra OneLogin-technici de inbraak detecteerden, schakelden ze de systemen uit die waren geïnfiltreerd. Helaas is gemeld dat zij de inbraak pas zeven uur nadat het was begonnen detecteerde. Dat is een lange tijd om door gevoelige gegevens te porren.
Over welke gegevens hebben de aanvallers toegang gehad??
“De actor voor bedreigingen had toegang tot databasetabellen die informatie bevatten over gebruikers, apps en verschillende soorten sleutels.”
Hoewel het onduidelijk is precies wat de reikwijdte van die lijst is, is het zeker een heleboel gevoelige dingen.
Het mag niemand ontgaan dat OneLogin heel openhartig is geweest over dit incident. Ze hebben een bijgewerkte blogpost op hun site bijgehouden, met klanten over de aanval gecommuniceerd en advies gegeven over wat ze moeten doen. Er is tot nu toe geen indicatie dat het bedrijf het gebeurde heeft versluierd. (Hoewel ze de ernst van de aanval enigszins hebben gebagatelliseerd.)
Wat u moet doen als u OneLogin gebruikt
OneLogin heeft snel een gids uitgegeven om gebruikers te helpen de effecten van de aanval te verminderen (Het register heeft deze lijst ook gepost voor niet-klanten). De lijst bevat wachtwoordresetten, nieuwe verificatietokens, veilige notities verwijderen en een aantal andere technische suggesties op beheerdersniveau..
Als u echter een gebruiker van OneLogin bent, is de voor de hand liggende manier van handelen veel eenvoudiger: u kunt uw wachtwoorden wijzigen en uw authenticatietokens bijwerken. Het zal een tijdje duren, maar het is de moeite waard om te doen, want er is een grote kans dat iemand toegang heeft tot alles wat je in je account hebt opgeslagen. Wijzig uw hoofdwachtwoord, wijzig de wachtwoorden in uw apps, verander alles dat u in OneLogin hebt opgeslagen.
En gooi je beveiligde notities weg.
Ja, het gaat zuigen. Maar het gaat veel minder zuigen dan dat een van je belangrijke diensten wordt overgenomen door een aanvaller (of, erger nog, vastgehouden voor losgeld).
Wat we kunnen leren van de OneLogin-hack
De eerste en meest verontrustende les is duidelijk: bedrijven met eenmalige aanmelding (SSO) en wachtwoordbeheer zijn niet immuun voor beveiligingsbedreigingen. Deze bedrijven weten dat beveiliging een groot probleem is voor hun klanten en dat ze een enorme hoeveelheid waardevolle informatie bevatten.
Maar er gebeuren slechte dingen. In dit geval zijn de API-sleutels die de aanvallers toegang gaven tot OneLogin ontstaan “van een tussengastheer met een andere, kleinere dienstverlener in de VS..” Ondanks de toewijding van OneLogin aan beveiliging, hebben de tekortkomingen van een ander bedrijf mogelijk de aanvallers binnengelaten.
Helaas is geen enkel bedrijf hack-proof. Wachtwoordbeheer en SSO-bedrijven nemen beveiliging zeer serieus en doen het over het algemeen goed. Maar dit zou zeker gebeuren.
Wat kan je doen, vooruit? Hier zijn een paar dingen om in gedachten te houden bij het gebruik van dit soort diensten.
Alles op één plek opslaan is een slecht idee
Vanzelfsprekend bewaar je je wachtwoorden in je wachtwoordbeheer-app. Maar zou het de repository voor moeten zijn allemaal van uw gevoelige informatie? Misschien niet.
Het is gemakkelijk om de beveiligde aantekeningen van LastPass te gebruiken, bijvoorbeeld om uw bankrekeninggegevens of uw wifi-wachtwoord te behouden. Maar als die service wordt gehackt, kijk je nu naar nog meer problemen. Mogelijk hebt u uw creditcardgegevens al opgeslagen. Maar als je nog een paar belangrijke stukjes informatie toevoegt 10 stukjes informatie die worden gebruikt om je identiteit te stelen 10 stukjes informatie die worden gebruikt om je identiteit te stelen Volgens het Amerikaanse Bureau of Justice kost identiteitsdiefstal meer dan $ 24 miljard in 2012 , meer dan inbraak in woning-, motor- en eigendomsdiefstal gecombineerd. Deze 10 stukjes informatie zijn wat dieven op zoek zijn ... Lees meer, identiteitsdiefstal wordt veel eenvoudiger.
Overweeg een andere versleutelde service te gebruiken die geen informatie in de cloud opslaat, zoals SplashID, of alleen een map op uw computer versleutelt en wachtwoord beveiligt Hoe een map met een wachtwoord in Windows beveiligen Hoe een map met een wachtwoord beveiligen in Windows Moet een Windows behouden map privé? Hier zijn een paar methoden die u kunt gebruiken om uw bestanden met een wachtwoord te beveiligen op een Windows 10-pc. Lees verder . Het is iets minder handig, maar het kan de moeilijkheidsgraad in geval van een breuk aanzienlijk verminderen.
Denk tweemaal na over Single Sign-On
SSO is geweldig omdat het een hoop tijd bespaart en uw wachtwoorden tot een minimum beperkt. OpenID, aanmelden met aanmeldingsgegevens voor sociaal netwerk. Sociale aanmelding gebruiken? Neem deze stappen om uw accounts te beveiligen met behulp van sociale login? Neem deze stappen om uw accounts te beveiligen Als u een sociale inlogservice gebruikt (zoals Google of Facebook), dan denkt u misschien dat alles veilig is. Niet zo - het is tijd om de zwakke punten van sociale logins te bekijken. Meer lezen, en andere soortgelijke methoden zijn behoorlijk populair. (Om helemaal eerlijk te zijn, gebruik ik deze zelf.)
De veiligere optie is om eenvoudig een account te openen met uw e-mailadres voor elke site. Als u een wachtwoordbeheerder gebruikt, is dit eenvoudig. Niet zo eenvoudig als OAuth of een soortgelijke login met één muisklik, maar het is zeker veiliger Hoe miljoenen apps kwetsbaar zijn voor één beveiligingshack Hoe miljoenen apps kwetsbaar zijn voor één beveiligingshack OAuth is een open standaard die wordt gebruikt om kunt u inloggen op een app of website van een derde door een Facebook-, Twitter- of Google-account te gebruiken - en het is kwetsbaar voor hackers. Lees verder .
Om eerlijk te zijn moedigen sommige mensen het gebruik van single sign-on aan als een beveiligingspraktijk. Weeg je opties.
Gebruik Two-Factor Authentication op belangrijke services
We hebben ontelbare keren gesproken over tweefactorauthenticatie, maar als u er niet bekend mee bent, lees er dan alles over. Wat is twee-factorenauthenticatie en waarom zou u het moeten gebruiken? Wat is twee-factorenauthenticatie en waarom zou u het moeten doen? Use It Two-factor authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt vaak gebruikt in het dagelijks leven. Bijvoorbeeld betalen met een creditcard vereist niet alleen de kaart, ... Lees meer en ontdek welke services het kunnen gebruiken Vergrendelen Deze services nu met twee-factorenauthenticatie Vergrendelen Deze services nu met tweevoudige authenticatie Tweefactorauthenticatie is de slimme manier om uw online accounts te beschermen. Laten we een paar van de services bekijken die u kunt vergrendelen met een betere beveiliging. Lees verder . Zet het dan aan.
Voor welke services moet u two-factor-authenticatie gebruiken? Kortom, zoveel als je kunt. Uw belangrijkste services, zoals e-mail, bankieren en cloudopslag, moeten hier zeker door worden beschermd. Al het andere is een bonus. Doe het nu.
Blijf scherp
Gebruikers van OneLogin hebben een harde les geleerd: geen enkele service is 100 procent veilig. Dit was een bijzonder harde manier om deze les te leren, maar op de lange termijn kan het misschien het beste zijn. Als u een OneLogin-gebruiker bent, zou u moeten proberen de stukken op te halen. Als je dat niet bent, beschouw jezelf dan als een geluksvogel en onderneem stappen om ervoor te zorgen dat het jou niet overkomt.
Ben je beïnvloed door de OneLogin-hack? Doet het u twee keer nadenken over wachtwoordbeheerders of single sign-on-apps? Deel uw mening in de reacties hieronder!
Ontdek meer over: Wachtwoordbeheer.