İlan
Biz büyük hayranlarıyız şifre yöneticileri Parola Yöneticileri Parolalarınızı Nasıl Güvende tutar?Kırılması zor parolaları da hatırlamak zordur. Güvende olmak ister misiniz? Bir şifre yöneticisine ihtiyacınız var. İşte nasıl çalıştıkları ve sizi nasıl güvende tuttukları. Daha fazla oku burada MakeUseOf. Hayatınızı kolaylaştırır, birçok işlemi hızlandırır ve güvenliğinizi artırır. Ancak hassas şifre bilgilerinizi tek bir yerde toplarlar ve bu tehlikeli olabilir.
Örnek olay: Kurumsal düzeyde tek bir oturum açma ve şifre yönetimi uygulaması üreticisi OneLogin, 31 Mayıs 2017'de saldırıya uğradı. Ve bu gerçekten kötü bir haber. İşte olanlar, yapmanız gerekenler ve öğrenebileceğimiz bazı dersler.
OneLogin'de Ne Oldu?
OneLogin şöyle diyor:
“… Bir tehdit oyuncusu AWS anahtarlarımızdan birini, ABD'deki başka bir küçük hizmet sağlayıcısıyla ara bir ana bilgisayardan API aracılığıyla AWS platformumuza erişmek için kullandı…”
Bu ne anlama geliyor? Bu, birisinin OneLogin’in hassas verilerine baktığı anlamına gelir. Ve bu verilerin çoğu şifrelenirken, OneLogin, saldırganların en azından bazı verilerin şifresini çözebileceğine inanıyor.
OneLogin teknolojileri saldırıları tespit eder etmez, sızan sistemleri kapatırlar. Maalesef, saldırıyı başladıktan yedi saat sonrasına kadar tespit etmedikleri bildirildi. Hassas verileri incelemek uzun zaman alıyor.
Saldırganların ne tür verilere erişimi olabilir?
“Tehdit oyuncusu kullanıcılar, uygulamalar ve çeşitli anahtar türleri hakkında bilgi içeren veritabanı tablolarına erişebildi.”
Bu listenin kapsamının tam olarak ne olduğu belli olmasa da, kesinlikle çok hassas şeyler.
Kredilerine göre, OneLogin bu olayla ilgili çok açık sözlü. Onlar bir güncellenmiş blog yayını, saldırı hakkında müşterilerle iletişim kurdu ve ne yapılması gerektiği konusunda tavsiyelerde bulundu. Şimdiye kadar şirketin olanları gizlediğine dair bir gösterge yok. (Yine de saldırının ciddiyetini bir miktar önemsiz göstermiş olabilirler.)
OneLogin Kullanıyorsanız Ne Yapmalısınız?
OneLogin, kullanıcıların saldırının herhangi bir etkisini azaltmasına yardımcı olmak için hızlı bir şekilde bir kılavuz yayınladı (Kayıt Ayrıca bu listeyi yayınladı olmayan müşteriler için). Listede şifre sıfırlamaları, yeni kimlik doğrulama jetonları, güvenli notlardan kurtulma ve diğer teknik, yönetici düzeyindeki öneriler yer alır.
Yine de OneLogin kullanıcısıysanız, açık bir şekilde izlenen yol çok daha basittir: şifrelerinizi değiştirin ve kimlik doğrulama jetonlarınızı güncelleyin. Biraz zaman alacaktır, ancak yapmaya değer, çünkü birisinin hesabınızda sakladığınız her şeye erişme şansı çok yüksektir. Ana parolanızı, uygulamalarınızın parolalarını değiştirin, OneLogin'de depoladığınız her şeyi değiştirin.
Ve güvenli notlarınızı çöpe atın.
Evet, berbat olacak. Ancak, önemli hizmetlerinizden birinin bir saldırgan tarafından ele geçirilmesinden çok daha az emecek (veya muhtemelen daha da kötüsü, fidye için tutulur).
OneLogin Hack'den Neler Öğrenebiliriz
İlk ve en endişe verici ders açıktır: tek oturum açma (TOA) ve şifre yönetimi şirketleri güvenlik tehditlerine karşı bağışık değildir. Bu şirketler güvenliğin müşterileri için çok önemli olduğunu ve çok miktarda değerli bilgiye sahip olduklarını biliyorlar.
Ama kötü şeyler olur. Bu durumda, saldırganların OneLogin'e erişmesini sağlayan API anahtarları, daha küçük ve daha küçük bir ara ana bilgisayardan kaynaklanır. ABD'de servis sağlayıcı ” OneLogin’in güvenliğe olan bağlılığına rağmen, başka bir şirketin eksiklikleri saldırganlara izin verebilir içinde.
Ne yazık ki, hiçbir şirket saldırıya dayanıklı değildir. Şifre yönetimi ve TOA şirketleri güvenliği çok ciddiye alırlar ve genellikle iyi bir iş çıkarırlar. Ama bunun olması gerekiyordu.
İleride ne yapabilirsin? Bu tür hizmetleri kullanırken aklınızda bulundurmanız gereken birkaç nokta var.
Her Şeyi Tek Bir Yerde Saklamak Kötü Bir Fikir
Açıkçası, şifrelerinizi şifre yönetimi uygulamanızda tutacaksınız. Ancak bu depo herşey hassas bilgileriniz? Belki de değil.
Örneğin, banka hesap bilgilerinizi veya evinizin Wi-Fi şifresini tutmak için LastPass’in güvenli notlarını kullanmak kolaydır. Ancak bu hizmet hacklenirse, şimdi daha da fazla soruna bakıyorsunuz. Kredi kartı bilgilerinizi zaten saklamış olabilirsiniz. Yine de eklerseniz birkaç temel bilgi daha Kimliğinizi Çalmak için Kullanılan 10 Adet BilgiKimlik hırsızlığı maliyetli olabilir. Kimliğiniz çalınmaması için korumanız gereken 10 bilgi. Daha fazla oku kimlik hırsızlığı çok daha kolay hale gelir.
Bulutta bilgi saklamayan başka bir şifreli hizmet kullanmayı düşünün. SplashID, ya da sadece bilgisayarınızdaki bir klasörü şifreleme ve parola ile koruma Windows'da Klasörü Parola ile KorumaBir Windows klasörünü gizli tutmanız mı gerekiyor? Windows 10 yüklü bir bilgisayarda dosyalarınızı parola ile korumak için kullanabileceğiniz birkaç yöntem. Daha fazla oku . Biraz daha az kullanışlı, ancak bir ihlal durumunda zorluk miktarını önemli ölçüde azaltabilir.
Tek Oturum Açma Hakkında İki Kez Düşünün
TOA mükemmeldir, çünkü tonlarca zaman kazandırır ve şifrelerinizi minimumda tutar. OpenID'yi sosyal ağ kimlik bilgileriyle oturum açma Sosyal Giriş'i mi kullanıyorsunuz? Hesaplarınızı Güvenceye Almak için Bu Adımları İzleyinBir sosyal giriş hizmeti (Google veya Facebook gibi) kullanıyorsanız, her şeyin güvenli olduğunu düşünebilirsiniz. Öyle değil - sosyal girişlerin zayıf yönlerine bakmanın zamanı geldi. Daha fazla oku ve diğer benzer yöntemler oldukça popülerdir. (Tamamen dürüst olmak gerekirse, bunları kendim kullanıyorum.)
Daha güvenli seçenek, her site için e-posta adresinizle bir hesap açmaktır. Bir şifre yöneticisi kullanıyorsanız, bu kolaydır. OAuth veya benzer bir tek tıklamayla oturum açma kadar kolay değil, ancak kesinlikle daha güvenli Milyonlarca Uygulama Tek Bir Güvenlik Hackine Nasıl Korunur?OAuth, bir Facebook, Twitter veya Google hesabı kullanarak üçüncü taraf bir uygulama veya web sitesine giriş yapmanızı sağlamak için kullanılan açık bir standarttır - ve bilgisayar korsanlarına karşı savunmasızdır. Daha fazla oku .
Adil olmak gerekirse, bazı insanlar bir güvenlik uygulaması olarak tek oturum açmanın kullanılmasını teşvik eder. Seçeneklerinizi tartın.
Önemli Hizmetlerde İki Faktörlü Kimlik Doğrulamayı Kullanma
İki faktörlü kimlik doğrulama hakkında sayısız kez konuştuk, ancak buna aşina değilseniz, Tümünü oku İki Faktörlü Kimlik Doğrulama Nedir ve Neden Kullanmalısınız?İki faktörlü kimlik doğrulama (2FA), kimliğinizi kanıtlamanın iki farklı yolunu gerektiren bir güvenlik yöntemidir. Günlük yaşamda yaygın olarak kullanılır. Örneğin, bir kredi kartıyla ödeme yapmak için sadece kart değil, ... Daha fazla oku ve öğren hangi hizmetleri kullanabilir İki Faktörlü Kimlik Doğrulama ile Bu Hizmetleri Şimdi Kilitleyinİki faktörlü kimlik doğrulama, çevrimiçi hesaplarınızı korumanın akıllı yoludur. Daha iyi güvenlikle kilitleyebileceğiniz birkaç hizmete bir göz atalım. Daha fazla oku . Sonra açın.
Hangi hizmetleri iki faktörlü kimlik doğrulamayı kullanmalısınız? Kısacası, olabildiğince çok. E-posta, bankacılık ve bulut depolama gibi en önemli hizmetleriniz kesinlikle onun tarafından korunmalıdır. Başka bir şey bonus. Şimdi yap.
Keskin Kalın
OneLogin kullanıcıları zor bir ders öğrendi: Hiçbir hizmet yüzde 100 güvenli değil. Bu, bu dersi öğrenmenin özellikle zor bir yoluydu, ancak uzun vadede en iyisi olabilir. OneLogin kullanıcısıysanız parçaları almakla meşgul olmalısınız. Değilseniz, kendinizi şanslı sayın ve başınıza gelmediğinden emin olmak için adımlar atın.
OneLogin saldırısından etkilendiniz mi? Şifre yöneticileri veya çoklu oturum açma uygulamaları hakkında iki kez düşünmenizi sağlıyor mu? Aşağıdaki yorumlarda düşüncelerinizi paylaşın!
Dann, şirketlerin talep ve potansiyel müşteriler yaratmasına yardımcı olan bir içerik stratejisi ve pazarlama danışmanıdır. Ayrıca dannalbright.com'da strateji ve içerik pazarlamasıyla ilgili bloglar yapıyor.