Le piratage OneLogin était sérieux et nous a appris une leçon
Nous sommes de grands fans des gestionnaires de mots de passe. Comment les gestionnaires de mots de passe sécurisent vos mots de passe Comment les gestionnaires de mots de passe sécurisent vos mots de passe Il est également difficile de se souvenir des mots de passe difficiles à résoudre. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lire la suite ici à MakeUseOf. Ils vous simplifient la vie, accélèrent de nombreux processus et améliorent votre sécurité. Mais ils concentrent également vos informations de mot de passe sensibles dans un seul endroit - et cela peut être dangereux.
Exemple: OneLogin, le producteur d'une application de gestion de mot de passe et d'authentification unique au niveau de l'entreprise, a été piraté le 31 mai 2017. Et c'est une très mauvaise nouvelle. Voici ce qui est arrivé, ce que vous devriez faire et quelques leçons que nous pouvons apprendre.
Que s'est-il passé chez OneLogin?
Voici ce que OneLogin dit:
“… Un acteur menaçant a utilisé l'une de nos clés AWS pour accéder à notre plate-forme AWS via l'API d'un hôte intermédiaire avec un autre fournisseur de services plus petit aux États-Unis… ”
Qu'est-ce que ça veut dire? Cela signifie que quelqu'un cherchait dans les données sensibles de OneLogin. Et tandis qu'une grande partie de ces données est cryptée, OneLogin pense que les pirates ont pu déchiffrer au moins certaines des données..
Dès que les techniciens OneLogin ont détecté l'intrusion, ils ont fermé les systèmes infiltrés. Malheureusement, il a été signalé qu'ils n'avaient détecté l'intrusion que sept heures après le début de celle-ci. C'est long de fouiller dans des données sensibles.
À quel type de données les assaillants auraient-ils eu accès??
“L'acteur de la menace a pu accéder à des tables de base de données contenant des informations sur les utilisateurs, les applications et divers types de clés..”
Bien qu'on ne sache pas exactement quelle est la portée de cette liste, c'est certainement beaucoup de sujets sensibles.
À leur crédit, OneLogin a été très direct à propos de cet incident. Ils ont conservé un article de blog mis à jour sur leur site, communiqué avec les clients au sujet de l'attaque et fourni des conseils sur les mesures à prendre. Rien n'indique jusqu'à présent que la société ait obscurci ce qui s'est passé. (Bien qu'ils aient peut-être quelque peu minimisé la gravité de l'attaque.)
Que faire si vous utilisez OneLogin
OneLogin a rapidement publié un guide destiné à aider les utilisateurs à atténuer les effets de l’attaque (Le registre a également posté cette liste pour les non-clients). La liste comprend les réinitialisations de mot de passe, les nouveaux jetons d'authentification, l'élimination des notes sécurisées et un certain nombre d'autres suggestions techniques de niveau administrateur..
Cependant, si vous utilisez OneLogin, la procédure à suivre est bien plus simple: changez vos mots de passe et mettez à jour vos jetons d’authentification. Cela va prendre un certain temps, mais cela en vaut la peine, car il y a de fortes chances que quelqu'un ait accès à tout ce que vous avez stocké dans votre compte. Changez votre mot de passe principal, changez les mots de passe de vos applications, changez tout ce que vous avez stocké dans OneLogin.
Et détruisez vos notes sécurisées.
Oui, ça va sucer. Mais ça va être bien moins dur que de faire reprendre l'un de vos services importants par un attaquant (ou peut-être pire, de le racheter contre une rançon).
Ce que nous pouvons apprendre du piratage OneLogin
La première leçon, et la plus inquiétante, est claire: les entreprises de gestion de l'authentification unique (SSO) et des mots de passe ne sont pas à l'abri des menaces de sécurité. Ces entreprises savent que la sécurité représente un gros problème pour leurs clients et qu'elles détiennent une quantité considérable d'informations précieuses..
Mais de mauvaises choses arrivent. Dans ce cas, les clés d’API qui donnaient aux assaillants l’accès à OneLogin étaient originaires “depuis un hôte intermédiaire avec un autre fournisseur de services plus petit aux États-Unis.” Malgré le dévouement de OneLogin pour la sécurité, les faiblesses d’une autre société ont peut-être laissé les assaillants.
Malheureusement, aucune entreprise n'est à l'abri des intrusions. Les sociétés de gestion de mots de passe et d'authentification unique prennent très au sérieux la sécurité et en font généralement un bon travail. Mais cela devait arriver.
À l'avenir, que pouvez-vous faire? Voici quelques points à garder à l’esprit lorsque vous utilisez ces types de services..
Stocker tout au même endroit est une mauvaise idée
De toute évidence, vous allez conserver vos mots de passe dans votre application de gestion de mots de passe. Mais devrait-il être le référentiel pour tout de vos informations sensibles? Peut être pas.
Il est facile d'utiliser les notes sécurisées de LastPass, par exemple, pour conserver vos informations de compte bancaire ou votre mot de passe Wi-Fi à domicile. Mais si ce service est piraté, vous êtes maintenant confronté à encore plus de problèmes. Vos informations de carte de crédit sont peut-être déjà stockées. Pourtant, si vous ajoutez encore quelques éléments d'information essentiels, 10 éléments d'information utilisés pour voler votre identité 10 éléments d'information utilisés pour voler votre identité , plus que le cambriolage domestique, le vol de moteur et le vol de propriété combinés. Les voleurs recherchent ces 10 informations… En savoir plus, le vol d'identité devient beaucoup plus facile.
Pensez à utiliser un autre service chiffré qui ne stocke pas d'informations dans le nuage, comme SplashID, ou simplement chiffrer et protéger par mot de passe un dossier sur votre ordinateur. Comment protéger un dossier sous Windows par mot de passe Comment protéger un dossier sous Windows par un mot de passe Besoin de conserver Windows dossier privé? Voici quelques méthodes que vous pouvez utiliser pour protéger par mot de passe vos fichiers sur un PC Windows 10. Lire la suite . C'est un peu moins pratique, mais cela pourrait réduire considérablement le nombre de difficultés en cas de violation..
Pensez deux fois à l'authentification unique
SSO est génial car il vous fait gagner beaucoup de temps et minimise vos mots de passe. OpenID, connexion avec les informations d'identification de réseau social Utilisation de Social Login? Suivez ces étapes pour sécuriser vos comptes en utilisant Social Login? Suivez ces étapes pour sécuriser vos comptes Si vous utilisez un service de connexion sociale (tel que Google ou Facebook), vous pouvez penser que tout est sécurisé. Non, il est temps d'examiner les faiblesses des logins sociaux. Lire la suite, et d'autres méthodes similaires sont très populaires. (Pour être tout à fait honnête, je les utilise moi-même.)
L'option la plus sûre consiste simplement à ouvrir un compte avec votre adresse électronique pour chaque site. Si vous utilisez un gestionnaire de mot de passe, c'est facile. Pas tout à fait aussi simple que OAuth ou une connexion en un clic similaire, mais elle est certainement plus sécurisée. Comment des millions d'applications sont vulnérables à un piratage de sécurité unique Comment des millions d'applications sont-elles vulnérables à une sécurité unique? Piratage OAuth est un standard ouvert vous permettent de vous connecter à une application ou à un site Web tiers en utilisant un compte Facebook, Twitter ou Google, ce qui le rend vulnérable aux pirates informatiques. Lire la suite .
Pour être juste, certaines personnes encouragent l'utilisation de l'authentification unique en tant que pratique de sécurité. Pesez vos options.
Utiliser l'authentification à deux facteurs sur des services importants
Nous avons parlé d'innombrables fois de l'authentification à deux facteurs, mais si vous n'êtes pas familier avec elle, lisez tout sur elle. Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser? Qu'est-ce qu'une authentification à deux facteurs et pourquoi devriez-vous l'utiliser? Use It L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit nécessite non seulement… En savoir plus et savoir quels services peuvent l'utiliser Verrouillez ces services maintenant avec une authentification à deux facteurs Verrouillez ces services maintenant avec une authentification à deux facteurs moyen de protéger vos comptes en ligne. Jetons un coup d'œil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. Lire la suite . Puis allume.
Pour quels services devez-vous utiliser l'authentification à deux facteurs? En bref, autant que vous pouvez. Vos services les plus importants, tels que la messagerie électronique, les services bancaires et le stockage en nuage, devraient certainement être protégés par celui-ci. Tout le reste est un bonus. Fais le maintenant.
Restez pointu
Les utilisateurs de OneLogin ont tiré une leçon difficile: aucun service n'est sécurisé à 100%. C’était un moyen particulièrement dur d’apprendre cette leçon, mais à long terme, c’est peut-être pour le mieux. Si vous êtes un utilisateur OneLogin, vous devriez être occupé à ramasser les morceaux. Si vous ne l'êtes pas, considérez-vous comme chanceux et prenez des mesures pour que cela ne vous arrive pas.
Avez-vous été affecté par le hack OneLogin? Cela vous fait-il réfléchir à deux fois sur les gestionnaires de mots de passe ou les applications à authentification unique? Partagez votre opinion dans les commentaires ci-dessous!
Explorez plus sur: Password Manager.