Der OneLogin-Hack war ernst und hat uns eine Lektion erteilt
Wir sind große Fans von Passwort-Managern Wie Passwort-Manager Ihre Passwörter sicher aufbewahren Wie Passwort-Manager Ihre Passwörter sicher aufbewahren Passwörter, die schwer zu knacken sind, sind auch schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwortmanager. So funktionieren sie und wie schützen sie dich? Lesen Sie hier mehr bei MakeUseOf. Sie erleichtern Ihnen das Leben, beschleunigen viele Prozesse und verbessern Ihre Sicherheit. Sie konzentrieren jedoch auch Ihre vertraulichen Kennwortinformationen an einem einzigen Ort - und das kann gefährlich sein.
Ein typisches Beispiel: OneLogin, der Hersteller einer Single-Sign-On- und Passwort-Management-App auf Unternehmensebene, wurde am 31. Mai 2017 gehackt. Und das sind wirklich schlechte Nachrichten. Hier ist was passiert ist, was Sie tun sollten und einige Lektionen, die wir lernen können.
Was bei OneLogin passiert ist?
Folgendes sagt OneLogin:
“… Ein Bedrohungsschauspieler nutzte einen unserer AWS-Schlüssel, um über ein API von einem Zwischenhost mit einem anderen, kleineren Dienstanbieter in den USA auf unsere AWS-Plattform zuzugreifen. ”
Was bedeutet das? Dies bedeutet, dass jemand die vertraulichen Daten von OneLogin durchgesehen hat. Während viele dieser Daten verschlüsselt sind, glaubt OneLogin, dass die Angreifer zumindest einen Teil der Daten entschlüsseln konnten.
Sobald OneLogin-Techniker das Eindringen entdeckten, schalteten sie die infiltrierten Systeme aus. Unglücklicherweise wurde berichtet, dass sie das Eindringen erst sieben Stunden nach dem Start erkannt haben. Es ist eine lange Zeit, um durch sensible Daten zu stöbern.
Auf welche Daten haben die Angreifer Zugriff??
“Der Bedrohungsakteur konnte auf Datenbanktabellen zugreifen, die Informationen zu Benutzern, Apps und verschiedenen Schlüsseltypen enthalten.”
Es ist zwar unklar, welchen Umfang diese Liste hat, aber es ist definitiv eine Menge sensibler Dinge.
Ihrer Meinung nach war OneLogin sehr offen bei diesem Vorfall. Sie haben einen aktualisierten Blog-Post auf ihrer Website geführt, mit den Kunden über den Angriff kommuniziert und Rat gegeben, was zu tun ist. Bislang gibt es keinen Hinweis darauf, dass das Unternehmen das Geschehene verschleiert hat. (Obwohl sie den Ernst des Angriffs vielleicht etwas heruntergespielt haben.)
Was Sie tun sollten, wenn Sie OneLogin verwenden
OneLogin hat schnell einen Leitfaden herausgegeben, mit dem Benutzer die Auswirkungen des Angriffs abschwächen können (Das Register hat diese Liste auch für Nichtkunden veröffentlicht. Die Liste enthält Kennwortrücksetzungen, neue Authentifizierungs-Token, das Entfernen sicherer Notizen sowie eine Reihe weiterer technischer Vorschläge auf Administratorebene.
Wenn Sie jedoch OneLogin-Benutzer sind, ist die offensichtliche Vorgehensweise viel einfacher: Ändern Sie Ihre Kennwörter und aktualisieren Sie Ihre Authentifizierungs-Token. Es wird eine Weile dauern, aber es lohnt sich, denn es besteht eine sehr gute Chance, dass jemand Zugriff auf alles hat, was Sie in Ihrem Konto gespeichert haben. Ändern Sie Ihr Master-Passwort, ändern Sie die Passwörter für Ihre Apps und ändern Sie alles, was Sie in OneLogin gespeichert haben.
Und verwerfen Sie Ihre sicheren Notizen.
Ja, es wird scheißen. Aber es wird viel weniger scheißen, als einen Ihrer wichtigen Dienste von einem Angreifer übernommen zu haben (oder, was noch schlimmer ist, als Lösegeld).
Was wir aus dem OneLogin Hack lernen können
Die erste und besorgniserregendste Lektion ist klar: Single Sign-On (SSO) und Kennwortverwaltungsunternehmen sind nicht vor Sicherheitsbedrohungen gefeit. Diese Unternehmen wissen, dass Sicherheit für ihre Kunden eine große Sache ist und dass sie eine Vielzahl wertvoller Informationen enthalten.
Aber schlimme Dinge passieren. In diesem Fall stammen die API-Schlüssel, die den Angreifern Zugriff auf OneLogin gewährten “von einem Zwischenhost mit einem anderen, kleineren Dienstanbieter in den USA.” Trotz des Engagements von OneLogin für die Sicherheit haben die Mängel eines anderen Unternehmens möglicherweise die Angreifer zugelassen.
Leider ist kein Unternehmen hacksicher. Passwort-Management und SSO-Unternehmen nehmen Sicherheit sehr ernst und tun dies im Allgemeinen gut. Aber das musste passieren.
Was kannst du tun? Hier sind einige Dinge, die bei der Verwendung dieser Dienste zu beachten sind.
Alles an einem Ort zu speichern ist eine schlechte Idee
Natürlich werden Sie Ihre Passwörter in Ihrer App zur Passwortverwaltung aufbewahren. Aber sollte es das Repository für sein? alles Ihrer sensiblen Informationen? Vielleicht nicht.
Die sicheren Notizen von LastPass können einfach verwendet werden, um beispielsweise Ihre Bankkontodaten oder Ihr WLAN-Kennwort für zu Hause aufzubewahren. Wenn dieser Dienst jedoch gehackt wird, sehen Sie jetzt noch mehr Probleme. Möglicherweise haben Sie Ihre Kreditkarteninformationen bereits gespeichert. Wenn Sie jedoch ein paar weitere wichtige Informationen hinzufügen 10 Informationen, die zum Stehlen Ihrer Identität verwendet werden 10 Informationen, die zum Stehlen Ihrer Identität verwendet werden Nach Angaben des US-Justizministeriums kosten Identitätsdiebstahl Opfer im Jahr 2012 über 24 Milliarden US-Dollar , mehr als Einbruchdiebstahl, Motor- und Immobiliendiebstahl in Kombination. Diese 10 Informationen suchen die Diebe… Lesen Sie mehr, Identitätsdiebstahl wird viel einfacher.
Erwägen Sie die Verwendung eines anderen verschlüsselten Dienstes, der keine Informationen in der Cloud speichert, wie z. B. SplashID, oder verschlüsseln und schützen Sie einfach einen Ordner auf Ihrem Computer. Kennwortschutz für einen Ordner in Windows Kennwortschutz für einen Ordner in Windows Sie müssen ein Windows behalten Ordner privat? Im Folgenden finden Sie einige Methoden, mit denen Sie Ihre Dateien auf einem Windows 10-PC mit einem Kennwort schützen können. Weiterlesen . Dies ist etwas unbequem, kann jedoch die Schwierigkeit im Falle einer Verletzung erheblich reduzieren.
Denken Sie zweimal über Single Sign-On nach
SSO ist großartig, weil es eine Menge Zeit spart und Ihre Passwörter auf ein Minimum reduziert. OpenID, Anmeldung mit Anmeldeinformationen für ein soziales Netzwerk Mit Social Login? Führen Sie diese Schritte aus, um Ihre Konten mit Social Login zu sichern? Führen Sie diese Schritte aus, um Ihre Konten zu schützen Wenn Sie einen Social-Login-Dienst (wie Google oder Facebook) verwenden, denken Sie möglicherweise, dass alles sicher ist. Nicht so - es ist an der Zeit, sich die Schwächen von Social Logins anzuschauen. Lesen Sie mehr, und andere ähnliche Methoden sind sehr beliebt. (Um ganz ehrlich zu sein, benutze ich diese selbst.)
Die sicherere Option ist, einfach für jede Site ein Konto mit Ihrer E-Mail-Adresse zu eröffnen. Wenn Sie einen Passwort-Manager verwenden, ist dies einfach. Nicht ganz so einfach wie OAuth oder eine ähnliche Anmeldung mit einem Klick, aber es ist definitiv sicherer. Wie Millionen von Apps für einen einzelnen Sicherheits-Hack anfällig sind. Wie Millionen von Apps sind für einen einzigen Sicherheits-Hack anfällig. OAuth ist ein offener Standard Sie können sich mit einem Facebook-, Twitter- oder Google-Konto bei einer App oder Website eines Drittanbieters anmelden. Dies ist anfällig für Hacker. Weiterlesen .
Um fair zu sein, empfehlen einige Leute die Verwendung von Single Sign-On als Sicherheitspraxis. Wiegen Sie Ihre Möglichkeiten.
Verwenden Sie die Zwei-Faktor-Authentifizierung für wichtige Dienste
Wir haben unzählige Male über die Zwei-Faktor-Authentifizierung gesprochen. Wenn Sie sich jedoch nicht damit auskennen, lesen Sie alles darüber Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie es verwenden? Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie dies tun? Verwenden Sie es Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Methoden zum Nachweis Ihrer Identität erfordert. Es wird häufig im Alltag verwendet. Für das Bezahlen mit einer Kreditkarte ist zum Beispiel nicht nur die Karte erforderlich… Lesen Sie mehr und erfahren Sie, welche Dienste sie verwenden können. Sperren Sie diese Dienste jetzt mit der Zwei-Faktor-Authentifizierung. Sperren Sie diese Dienste jetzt mit der Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung ist das Smart So schützen Sie Ihre Online-Konten. Werfen wir einen Blick auf einige der Dienste, die Sie mit höherer Sicherheit sperren können. Weiterlesen . Dann schalten Sie es ein.
Für welche Services sollten Sie die Zwei-Faktor-Authentifizierung verwenden? Kurz gesagt, so viele wie möglich. Ihre wichtigsten Dienste wie E-Mail, Banking und Cloud-Speicher sollten auf jeden Fall dadurch geschützt werden. Alles andere ist ein Bonus. Mach es jetzt.
Bleib scharf
OneLogin-Benutzer haben eine schwierige Lektion gelernt: Kein Service ist zu 100 Prozent sicher. Dies war eine besonders harte Methode, um diese Lektion zu lernen, aber auf lange Sicht ist dies möglicherweise das Beste. Wenn Sie ein OneLogin-Benutzer sind, sollten Sie damit beschäftigt sein, die Teile aufzusammeln. Wenn Sie nicht sind, betrachten Sie sich als glücklich und unternehmen Sie Schritte, um sicherzustellen, dass es Ihnen nicht passiert.
Warst du vom OneLogin-Hack betroffen? Denken Sie über Kennwortmanager oder Single-Sign-On-Apps nach? Teilen Sie Ihre Gedanken in den Kommentaren unten mit!
Erfahren Sie mehr über: Password Manager.