الإعلانات
نحن من كبار المعجبين مديري كلمات المرور كيف يحافظ مديرو كلمات المرور على كلمات المرور الخاصة بك آمنةمن الصعب أيضًا تذكر كلمات المرور التي يصعب اختراقها. تريد أن تكون بأمان؟ أنت بحاجة إلى مدير كلمات المرور. إليك كيفية عملها وكيف تحافظ على سلامتك. قراءة المزيد هنا في MakeUseOf. إنها تجعل حياتك أسهل ، وتسريع الكثير من العمليات ، وتحسين الأمان. لكنهم يركزون أيضًا على معلومات كلمة المرور الحساسة في مكان واحد - وقد يكون ذلك خطيرًا.
مثال على ذلك: تم اختراق OneLogin ، منتج تطبيق الدخول الموحد وإدارة كلمات المرور على مستوى المؤسسة ، في 31 مايو 2017. وهذه أخبار سيئة حقًا. إليك ما حدث ، وما يجب عليك فعله ، وبعض الدروس التي يمكننا تعلمها.
ماذا حدث في OneLogin؟
إليك ما يقوله OneLogin:
"... استخدم ممثل تهديد أحد مفاتيح AWS الخاصة بنا للوصول إلى منصة AWS الخاصة بنا عبر واجهة برمجة التطبيقات من مضيف متوسط مع مقدم خدمة آخر أصغر في الولايات المتحدة ..."
ماذا يعني ذلك؟ هذا يعني أن شخصًا ما كان يبحث في بيانات OneLogin الحساسة. وبينما يتم تشفير معظم هذه البيانات ، يعتقد OneLogin أن المهاجمين كانوا قادرين على فك تشفير بعض البيانات على الأقل.
بمجرد أن اكتشفت تقنيات OneLogin التدخل ، أغلقوا الأنظمة التي تم اختراقها. للأسف ، تم الإبلاغ عن أنهم لم يكتشفوا التسلل حتى سبع ساعات بعد بدئه. إنه وقت طويل لبحث البيانات الحساسة.
ما نوع البيانات التي يمكن للمهاجمين الوصول إليها؟
"تمكن الفاعل التهديد من الوصول إلى جداول قاعدة البيانات التي تحتوي على معلومات حول المستخدمين والتطبيقات وأنواع مختلفة من المفاتيح."
في حين أنه من غير الواضح بالضبط ما هو نطاق هذه القائمة ، فمن المؤكد أنها تحتوي على الكثير من الأشياء الحساسة.
ولحسن حظهم ، فقد كانت OneLogin صريحة جدًا بشأن هذه الحادثة. لقد حافظوا على تم تحديث مشاركة المدونة على موقعهم ، والتواصل مع العملاء بشأن الهجوم ، وتقديم المشورة بشأن ما يجب فعله. ليس هناك ما يشير حتى الآن إلى أن الشركة قد حجبت ما حدث. (على الرغم من أنهم قد قللوا من خطورة الهجوم إلى حد ما.)
ماذا يجب أن تفعل إذا كنت تستخدم OneLogin
أصدر OneLogin بسرعة دليلًا لمساعدة المستخدمين على التخفيف من أي آثار للهجوم (السجل أيضا نشر هذه القائمة لغير العملاء). تتضمن القائمة عمليات إعادة تعيين كلمة المرور ورموز المصادقة المميزة الجديدة والتخلص من الملاحظات الآمنة وعددًا من الاقتراحات الفنية الأخرى على مستوى المسؤول.
إذا كنت من مستخدمي OneLogin ، فإن مسار العمل الواضح أبسط بكثير: قم بتغيير كلمات المرور الخاصة بك وتحديث رموز المصادقة الخاصة بك. سيستغرق الأمر بعض الوقت ، لكن الأمر يستحق القيام به ، لأن هناك فرصة جيدة جدًا أن يتمكن شخص ما من الوصول إلى كل ما قمت بتخزينه في حسابك. قم بتغيير كلمة المرور الرئيسية ، وقم بتغيير كلمات المرور إلى تطبيقاتك ، وقم بتغيير كل شيء قمت بتخزينه في OneLogin.
وقم بتفريغ ملاحظاتك الآمنة.
نعم ، سوف ترضخ. لكن الأمر سيكون أقل بكثير من الاستيلاء على إحدى خدماتك المهمة من قبل مهاجم (أو ربما أسوأ من ذلك ، احتجازه مقابل فدية).
ما يمكننا تعلمه من OneLogin Hack
الدرس الأول والأكثر إثارة للقلق هو الدرس الواضح: شركات الدخول الموحد (SSO) وإدارة كلمات المرور ليست محصنة ضد التهديدات الأمنية. تعرف هذه الشركات أن الأمن يمثل مشكلة كبيرة لعملائها ، وأن لديهم كمية كبيرة من المعلومات القيمة.
لكن الأشياء السيئة تحدث. في هذه الحالة ، نشأت مفاتيح واجهة برمجة التطبيقات التي منحت المهاجمين حق الوصول إلى OneLogin "من مضيف وسيط مع مضيف آخر أصغر مزود الخدمة في الولايات المتحدة " على الرغم من تفاني OneLogin للأمان ، فقد تكون أوجه القصور في شركة أخرى قد سمحت للمهاجمين في.
لسوء الحظ ، لا توجد شركة مقاومة للاختراق. تأخذ إدارة كلمات المرور وشركات الدخول الموحَّد (SSO) الأمان على محمل الجد ، وعادةً ما تقوم بعمل جيد. لكن هذا كان لا بد أن يحدث.
بالمضي قدما ، ماذا يمكنك أن تفعل؟ إليك بعض الأشياء التي يجب وضعها في الاعتبار عند استخدام هذه الأنواع من الخدمات.
تخزين كل شيء في مكان واحد هو فكرة سيئة
من الواضح أنك ستحتفظ بكلمات المرور في تطبيق إدارة كلمة المرور. ولكن ينبغي أن يكون المستودع الكل من معلوماتك الحساسة؟ ربما لا.
من السهل استخدام ملاحظات LastPass الآمنة ، على سبيل المثال ، للاحتفاظ بمعلومات حسابك المصرفي أو كلمة مرور شبكة Wi-Fi المنزلية. ولكن إذا تم اختراق هذه الخدمة ، فأنت الآن تبحث في المزيد من المشاكل. قد تكون لديك معلومات بطاقة الائتمان الخاصة بك مخزنة بالفعل. حتى الآن إذا قمت بإضافة المزيد من المعلومات الأساسية 10 معلومات تستخدم لسرقة هويتكيمكن أن تكون سرقة الهوية مكلفة. إليك 10 معلومات تحتاج إلى حمايتها حتى لا تسرق هويتك. قراءة المزيد ، تصبح سرقة الهوية أسهل بكثير.
فكر في استخدام خدمة أخرى مشفرة لا تخزن المعلومات في السحابة ، مثل SplashID، أو فقط التشفير وكلمة المرور حماية مجلد على جهاز الكمبيوتر الخاص بك كيفية حماية مجلد كلمة المرور في ويندوزهل تحتاج إلى الحفاظ على خصوصية مجلد Windows؟ فيما يلي بعض الطرق التي يمكنك استخدامها لحماية ملفاتك بكلمة مرور على جهاز كمبيوتر يعمل بنظام Windows 10. قراءة المزيد . إنها أقل ملاءمة إلى حد ما ، ولكنها يمكن أن تقلل بشكل كبير من مقدار الصعوبة في حالة حدوث خرق.
فكر مرتين في الدخول الموحّد
يعد تسجيل الدخول الموحد أمرًا رائعًا لأنه يوفر الكثير من الوقت ويحافظ على كلمات المرور الخاصة بك إلى الحد الأدنى. OpenID ، تسجيل الدخول باستخدام بيانات اعتماد الشبكة الاجتماعية باستخدام الدخول الاجتماعي؟ اتخذ هذه الخطوات لتأمين حساباتكإذا كنت تستخدم خدمة تسجيل الدخول الاجتماعي (مثل Google أو Facebook) ، فقد تعتقد أن كل شيء آمن. ليس الأمر كذلك - فقد حان الوقت لإلقاء نظرة على نقاط ضعف تسجيلات الدخول الاجتماعية. قراءة المزيد ، وطرق أخرى مماثلة تحظى بشعبية كبيرة. (لأكون صادقًا تمامًا ، أستخدمها بنفسي.)
الخيار الأكثر أمانًا هو ببساطة فتح حساب بعنوان بريدك الإلكتروني لكل موقع. إذا كنت تستخدم مدير كلمات المرور ، فهذا أمر سهل. الأمر ليس سهلاً تمامًا مثل OAuth أو تسجيل دخول مماثل بنقرة واحدة ، ولكنه كذلك بالتأكيد أكثر أمنا كيف تكون ملايين التطبيقات معرضة لاختراق أمان واحدOAuth هو معيار مفتوح يُستخدم للسماح لك بتسجيل الدخول إلى تطبيق أو موقع ويب تابع لجهة خارجية باستخدام حساب Facebook أو Twitter أو Google - وهو عرضة للمخترقين. قراءة المزيد .
لكي نكون منصفين ، يشجع بعض الأشخاص على استخدام الدخول الموحّد كممارسة أمنية. تزن خياراتك.
استخدم المصادقة الثنائية في الخدمات الهامة
لقد تحدثنا عن مصادقة ثنائية العامل مرات لا تحصى ، ولكن إذا لم تكن على دراية بها ، إقرأ كل شيء عنه ما هي المصادقة ذات العاملين ، ولماذا يجب عليك استخدامهاالمصادقة الثنائية (2FA) هي طريقة أمان تتطلب طريقتين مختلفتين لإثبات هويتك. يستخدم عادة في الحياة اليومية. على سبيل المثال ، الدفع ببطاقة ائتمان لا يتطلب فقط البطاقة ، ... قراءة المزيد و تعلم الخدمات التي يمكن استخدامها قفل هذه الخدمات الآن مع المصادقة الثنائيةالمصادقة الثنائية هي الطريقة الذكية لحماية حساباتك على الإنترنت. دعنا نلقي نظرة على عدد قليل من الخدمات التي يمكنك قفلها بأمان أفضل. قراءة المزيد . ثم قم بتشغيله.
ما الخدمات التي يجب عليك استخدام المصادقة الثنائية من أجلها؟ باختصار ، أكبر عدد ممكن. بالتأكيد يجب حماية خدماتك الأكثر أهمية ، مثل البريد الإلكتروني والخدمات المصرفية والتخزين السحابي. كل ما يأتي من بعد فهو فائدة. افعلها الآن.
ابق شارب
تعلّم مستخدمو OneLogin درسًا صعبًا: لا توجد خدمة آمنة بنسبة 100٪. كانت هذه طريقة قاسية بشكل خاص لتعلم هذا الدرس ، ولكن قد تكون للأفضل على المدى الطويل. إذا كنت من مستخدمي OneLogin ، فيجب أن تكون مشغولًا في التقاط القطع. إذا لم تكن كذلك ، اعتبر نفسك محظوظًا ، واتخذ الخطوات للتأكد من أن ذلك لن يحدث لك.
هل تأثرت باختراق OneLogin؟ هل يجعلك تفكر مرتين في مديري كلمات المرور أو تطبيقات الدخول الموحد؟ شارك أفكارك في التعليقات أدناه!
دان هي إستراتيجية المحتوى واستشاري التسويق الذي يساعد الشركات على توليد الطلب والعملاء المحتملين. كما يكتب عن الاستراتيجية وتسويق المحتوى في dannalbright.com.