Le piratage OneLogin était sérieux et nous a appris une leçon

  • William Charles
  • 0
  • 3705
  • 76
Publicité

Nous sommes de grands fans des gestionnaires de mots de passe. Comment les gestionnaires de mots de passe assurent la sécurité de vos mots de passe Comment les gestionnaires de mots de passe préservent vos mots de passe Les mots de passe difficiles à déchiffrer sont également difficiles à retenir. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. ici à MakeUseOf. Ils vous simplifient la vie, accélèrent de nombreux processus et améliorent votre sécurité. Mais ils concentrent également les informations sensibles de votre mot de passe au même endroit, ce qui peut être dangereux..

Exemple: OneLogin, le producteur d'une application de gestion de mot de passe et d'authentification unique au niveau de l'entreprise, a été piraté le 31 mai 2017. Et c'est une très mauvaise nouvelle. Voici ce qui s'est passé, ce que vous devriez faire et quelques leçons que nous pouvons apprendre.

Que s'est-il passé chez OneLogin?

Voici ce que OneLogin dit:

“… Un acteur menaçant a utilisé l'une de nos clés AWS pour accéder à notre plateforme AWS via l'API d'un hôte intermédiaire avec un autre fournisseur de services plus petit aux États-Unis… ”

Qu'est-ce que ça veut dire? Cela signifie que quelqu'un cherchait dans les données sensibles de OneLogin. Et tandis qu'une grande partie de ces données est cryptée, OneLogin pense que les attaquants ont été en mesure de décrypter au moins certaines des données..

Dès que les techniciens OneLogin ont détecté l'intrusion, ils ont fermé les systèmes infiltrés. Malheureusement, il a été signalé qu'ils n'avaient détecté l'intrusion que sept heures après le début de celle-ci. C'est long de fouiller dans des données sensibles.

À quel type de données les assaillants auraient-ils eu accès??

“L'acteur de la menace a pu accéder à des tables de base de données contenant des informations sur les utilisateurs, les applications et divers types de clés..”

Bien qu'on ne sache pas exactement quelle est la portée de cette liste, c'est certainement beaucoup de sujets sensibles.

À leur crédit, OneLogin a été très direct à propos de cet incident. Ils ont conservé un article de blog mis à jour sur leur site, communiqué avec les clients au sujet de l'attaque et fourni des conseils sur les mesures à prendre. Jusqu'à présent, rien n'indique que la société a obscurci ce qui s'est passé. (Bien qu'ils aient peut-être quelque peu minimisé la gravité de l'attaque.)

Que faire si vous utilisez OneLogin

OneLogin a rapidement publié un guide destiné à aider les utilisateurs à atténuer les effets de l’attaque (Le registre a également posté cette liste pour les non-clients). La liste comprend les réinitialisations de mot de passe, les nouveaux jetons d'authentification, l'élimination des notes sécurisées et un certain nombre d'autres suggestions techniques de niveau administrateur..

Toutefois, si vous utilisez OneLogin, la procédure à suivre est bien plus simple: changez vos mots de passe et mettez à jour vos jetons d’authentification. Cela va prendre un certain temps, mais cela en vaut la peine, car il y a de fortes chances que quelqu'un ait accès à tout ce que vous avez stocké dans votre compte. Changez votre mot de passe principal, changez les mots de passe de vos applications, changez tout ce que vous avez stocké dans OneLogin.

Et détruisez vos notes sécurisées.

Oui, ça va sucer. Mais ça va être bien moins dur que de faire reprendre l'un de vos services importants par un attaquant (ou peut-être pire, de le faire contre rançon).

Ce que nous pouvons apprendre du piratage OneLogin

La première leçon, et la plus inquiétante, est claire: les entreprises de gestion de l'authentification unique (SSO) et des mots de passe ne sont pas à l'abri des menaces de sécurité. Ces entreprises savent que la sécurité représente un gros problème pour leurs clients et qu'elles détiennent une quantité considérable d'informations précieuses..

Mais de mauvaises choses arrivent. Dans ce cas, les clés d’API permettant aux attaquants d’accéder à OneLogin ont pour origine “depuis un hôte intermédiaire avec un autre fournisseur de services plus petit aux États-Unis.” Malgré le dévouement de OneLogin pour la sécurité, les faiblesses d’une autre société ont peut-être laissé les assaillants.

Malheureusement, aucune entreprise n'est à l'abri des attaques. Les sociétés de gestion de mots de passe et d'authentification unique prennent très au sérieux la sécurité et en font généralement un bon travail. Mais cela devait arriver.

Que pouvez-vous faire pour l'avenir? Voici quelques points à garder à l’esprit lorsque vous utilisez ces types de services..

Stocker tout au même endroit est une mauvaise idée

De toute évidence, vous allez conserver vos mots de passe dans votre application de gestion de mots de passe. Mais devrait-il être le référentiel pour tout de vos informations sensibles? Peut être pas.

Il est facile d'utiliser les notes sécurisées de LastPass, par exemple, pour conserver vos informations de compte bancaire ou votre mot de passe Wi-Fi à domicile. Mais si ce service est piraté, vous vous trouvez face à encore plus de problèmes. Vous avez peut-être déjà stocké vos informations de carte de crédit. Pourtant, si vous ajoutez encore quelques éléments d'information clés, 10 éléments d'information utilisés pour voler votre identité 10 éléments d'information utilisés pour voler votre identité Selon le Bureau de la justice des États-Unis, le vol d'identité a coûté plus de 24 milliards de dollars aux victimes en 2012 , plus que le cambriolage domestique, le vol de moteur et le vol de propriété combinés. Les voleurs recherchent ces 10 informations… le vol d'identité devient beaucoup plus facile.

Pensez à utiliser un autre service chiffré qui ne stocke pas d'informations dans le nuage, comme SplashID, ou simplement chiffrer et protéger par mot de passe un dossier sur votre ordinateur. Comment protéger un dossier sous Windows par mot de passe Comment protéger un dossier sous Windows par un mot de passe Besoin de conserver Windows dossier privé? Voici quelques méthodes que vous pouvez utiliser pour protéger par mot de passe vos fichiers sur un ordinateur Windows 10. . C'est un peu moins pratique, mais cela pourrait réduire considérablement le nombre de difficultés en cas de violation..

Pensez deux fois à l'authentification unique

SSO est génial car il vous fait gagner beaucoup de temps et minimise vos mots de passe. OpenID, connexion avec les informations d'identification de réseau social Utilisation de Social Login? Suivez ces étapes pour sécuriser vos comptes en utilisant Social Login? Suivez ces étapes pour sécuriser vos comptes Si vous utilisez un service de connexion sociale (tel que Google ou Facebook), vous pourriez penser que tout est sécurisé. Pas si - il est temps d'examiner les faiblesses des logins sociaux. et d’autres méthodes similaires sont très populaires. (Pour être tout à fait honnête, je les utilise moi-même.)

L'option la plus sûre consiste simplement à ouvrir un compte avec votre adresse électronique pour chaque site. Si vous utilisez un gestionnaire de mot de passe, c'est facile. Pas tout à fait aussi simple que OAuth ou une connexion en un clic similaire, mais elle est certainement plus sécurisée. Comment des millions d'applications sont vulnérables à un piratage de sécurité unique Comment des millions d'applications sont-ils vulnérables à une sécurité unique? vous permettent de vous connecter à une application ou à un site Web tiers en utilisant un compte Facebook, Twitter ou Google, ce qui le rend vulnérable aux pirates informatiques. .

Pour être juste, certaines personnes encouragent l'utilisation de l'authentification unique en tant que pratique de sécurité. Pesez vos options.

Utiliser l'authentification à deux facteurs sur des services importants

Nous avons parlé d'innombrables fois de l'authentification à deux facteurs, mais si vous n'êtes pas familier avec elle, lisez tout sur elle. Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser? Qu'est-ce qu'une authentification à deux facteurs et pourquoi devriez-vous l'utiliser? Utilisez-le L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte,… et découvrez les services qui peuvent l'utiliser. Verrouillez ces services maintenant avec une authentification à deux facteurs Verrouillez ces services maintenant avec une authentification à deux facteurs L'authentification à deux facteurs est le moyen intelligent de protégez vos comptes en ligne. Examinons quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. . Puis allume.

Pour quels services devez-vous utiliser l'authentification à deux facteurs? En bref, autant que vous pouvez. Vos services les plus importants, tels que la messagerie électronique, les services bancaires et le stockage en nuage, devraient certainement être protégés par celui-ci. Tout le reste est un bonus. Fais le maintenant.

Restez pointu

Les utilisateurs de OneLogin ont appris une dure leçon: aucun service n'est sécurisé à 100%. C'était un moyen particulièrement dur d'apprendre cette leçon, mais à long terme, ce serait peut-être pour le mieux. Si vous êtes un utilisateur OneLogin, vous devriez être occupé à ramasser les morceaux. Si vous ne l'êtes pas, considérez-vous comme chanceux et prenez des mesures pour que cela ne vous arrive pas.

Avez-vous été affecté par le hack OneLogin? Cela vous fait-il réfléchir à deux fois aux gestionnaires de mot de passe ou aux applications à authentification unique? Partagez votre opinion dans les commentaires ci-dessous!




Personne n'a encore commenté ce post.

De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.