Publicité
Nous sommes de grands fans de gestionnaires de mots de passe Comment les gestionnaires de mots de passe protègent vos mots de passeLes mots de passe difficiles à déchiffrer sont également difficiles à retenir. Vous voulez être en sécurité? Vous avez besoin d'un gestionnaire de mots de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lire la suite ici à MakeUseOf. Ils vous facilitent la vie, accélèrent de nombreux processus et améliorent votre sécurité. Mais ils concentrent également vos informations de mot de passe sensibles en un seul endroit - et cela peut être dangereux.
Exemple: OneLogin, le producteur d'une application de connexion unique et de gestion des mots de passe au niveau de l'entreprise, a été piraté le 31 mai 2017. Et c’est vraiment une mauvaise nouvelle. Voici ce qui s'est passé, ce que vous devez faire et quelques leçons que nous pouvons apprendre.
Que s'est-il passé chez OneLogin?
Voici ce que OneLogin dit:
«… Un acteur de menace a utilisé l'une de nos clés AWS pour accéder à notre plateforme AWS via l'API à partir d'un hôte intermédiaire avec un autre fournisseur de services plus petit aux États-Unis…»
Qu'est-ce que ça veut dire? Cela signifie que quelqu'un consultait les données sensibles de OneLogin. Et alors que la plupart de ces données sont cryptées, OneLogin pense que les attaquants ont pu décrypter au moins certaines des données.
Dès que les techniciens OneLogin ont détecté l'intrusion, ils ont fermé les systèmes qui étaient infiltrés. Malheureusement, il a été signalé qu'ils n'ont détecté l'intrusion que sept heures après le début. C'est long pour fouiller dans les données sensibles.
À quel type de données les attaquants auraient-ils eu accès?
«L'acteur de la menace a pu accéder aux tables de base de données contenant des informations sur les utilisateurs, les applications et divers types de clés.»
Bien que l'on ne sache pas exactement quelle est la portée de cette liste, c'est certainement beaucoup de choses sensibles.
À leur crédit, OneLogin a été très direct sur cet incident. Ils ont gardé un article de blog mis à jour sur leur site, communiqué avec les clients sur l'attaque et fourni des conseils sur la marche à suivre. Jusqu'à présent, rien n'indique que la société ait obscurci ce qui s'est passé. (Bien qu'ils aient pu minimiser quelque peu la gravité de l'attaque.)
Que devez-vous faire si vous utilisez OneLogin
OneLogin a rapidement publié un guide pour aider les utilisateurs à atténuer les effets de l'attaque (Le registre également a publié cette liste pour les non-clients). La liste comprend des réinitialisations de mot de passe, de nouveaux jetons d'authentification, la suppression des notes sécurisées et un certain nombre d'autres suggestions techniques de niveau administrateur.
Si vous êtes un utilisateur de OneLogin, la procédure évidente est beaucoup plus simple: changez vos mots de passe et mettez à jour vos jetons d'authentification. Cela va prendre un certain temps, mais cela en vaut la peine, car il y a de très bonnes chances que quelqu'un ait accès à tout ce que vous avez stocké dans votre compte. Changez votre mot de passe principal, changez les mots de passe pour vos applications, changez tout ce que vous avez stocké dans OneLogin.
Et jetez vos notes sécurisées.
Oui, ça va sucer. Mais cela va beaucoup moins sucer que d'avoir un de vos services importants pris en charge par un attaquant (ou, pire encore, détenu contre rançon).
Ce que nous pouvons apprendre du piratage OneLogin
La première leçon, et la plus inquiétante, est claire: les sociétés d'authentification unique (SSO) et de gestion des mots de passe ne sont pas à l'abri des menaces de sécurité. Ces entreprises savent que la sécurité est un enjeu majeur pour leurs clients et qu'elles détiennent une énorme quantité d'informations précieuses.
Mais de mauvaises choses arrivent. Dans ce cas, les clés API qui permettaient aux attaquants d'accéder à OneLogin provenaient «d'un hôte intermédiaire avec un autre, plus petit fournisseur de services aux États-Unis " Malgré le dévouement de OneLogin à la sécurité, les lacunes d'une autre entreprise peuvent avoir laissé les attaquants dans.
Malheureusement, aucune entreprise n'est à l'épreuve du piratage. Les sociétés de gestion de mots de passe et d'authentification unique prennent la sécurité très au sérieux et font généralement du bon travail. Mais cela devait arriver.
À l'avenir, que pouvez-vous faire? Voici quelques éléments à garder à l'esprit lors de l'utilisation de ces types de services.
Tout stocker au même endroit est une mauvaise idée
De toute évidence, vous allez conserver vos mots de passe dans votre application de gestion des mots de passe. Mais devrait-il être le référentiel de tout de vos informations sensibles? Peut être pas.
Il est facile d’utiliser les notes sécurisées de LastPass, par exemple, pour conserver vos informations de compte bancaire ou votre mot de passe Wi-Fi domestique. Mais si ce service est piraté, vous examinez encore plus de problèmes. Il se peut que vos informations de carte de crédit soient déjà enregistrées. Pourtant, si vous ajoutez quelques informations supplémentaires 10 éléments d'information qui sont utilisés pour voler votre identitéLe vol d'identité peut être coûteux. Voici les 10 informations que vous devez protéger afin que votre identité ne soit pas volée. Lire la suite , le vol d'identité devient beaucoup plus facile.
Envisagez d'utiliser un autre service chiffré qui ne stocke pas d'informations dans le cloud, comme SplashID, ou juste crypter et mot de passe protéger un dossier sur votre ordinateur Comment protéger par mot de passe un dossier sous WindowsBesoin de garder un dossier Windows privé? Voici quelques méthodes que vous pouvez utiliser pour protéger par mot de passe vos fichiers sur un PC Windows 10. Lire la suite . C'est un peu moins pratique, mais cela pourrait réduire considérablement le niveau de difficulté en cas de violation.
Pensez deux fois à l'authentification unique
L'authentification unique est géniale car elle permet d'économiser une tonne de temps et de garder vos mots de passe au minimum. OpenID, se connecter avec les informations d'identification du réseau social Utilisation de la connexion sociale? Suivez ces étapes pour sécuriser vos comptesSi vous utilisez un service de connexion sociale (comme Google ou Facebook), vous pourriez penser que tout est sécurisé. Ce n'est pas le cas - il est temps de jeter un coup d'œil aux faiblesses des connexions sociales. Lire la suite et d'autres méthodes similaires sont très populaires. (Pour être tout à fait honnête, je les utilise moi-même.)
L'option la plus sécurisée consiste à simplement ouvrir un compte avec votre adresse e-mail pour chaque site. Si vous utilisez un gestionnaire de mots de passe, c'est simple. Pas aussi simple que OAuth ou une connexion similaire en un clic, mais c'est nettement plus sûr Comment des millions d'applications sont vulnérables à un seul hack de sécuritéOAuth est un standard ouvert utilisé pour vous permettre de vous connecter à une application ou à un site Web tiers en utilisant un compte Facebook, Twitter ou Google - et il est vulnérable aux pirates. Lire la suite .
Pour être juste, certaines personnes encouragent l'utilisation de l'authentification unique comme pratique de sécurité. Pesez vos options.
Utiliser l'authentification à deux facteurs sur les services importants
Nous avons parlé d'innombrables fois de l'authentification à deux facteurs, mais si vous ne la connaissez pas, lire tout de qui le concerne Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser?L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux façons différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte, ... Lire la suite et apprendre quels services peuvent l'utiliser Verrouillez ces services maintenant avec une authentification à deux facteursL'authentification à deux facteurs est le moyen intelligent de protéger vos comptes en ligne. Jetons un coup d'œil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. Lire la suite . Allumez-le ensuite.
Pour quels services devez-vous utiliser l'authentification à deux facteurs? Bref, autant que vous le pouvez. Vos services les plus importants, comme le courrier électronique, les opérations bancaires et le stockage dans le cloud, devraient certainement en être protégés. Tout le reste est un bonus. Fais le maintenant.
Restez précis
Les utilisateurs de OneLogin ont appris une dure leçon: aucun service n'est sécurisé à 100%. C'était une façon particulièrement dure d'apprendre cette leçon, mais à long terme, ce sera peut-être pour le mieux. Si vous êtes un utilisateur OneLogin, vous devriez vous occuper de ramasser les morceaux. Si ce n'est pas le cas, considérez-vous comme chanceux et prenez des mesures pour vous assurer que cela ne vous arrive pas.
Avez-vous été affecté par le hack OneLogin? Cela vous fait-il réfléchir à deux fois aux gestionnaires de mots de passe ou aux applications d'authentification unique? Partagez votre opinion dans les commentaires ci-dessous!
Dann est un consultant en stratégie de contenu et en marketing qui aide les entreprises à générer de la demande et des prospects. Il blogue également sur la stratégie et le marketing de contenu sur dannalbright.com.