Anuncio
Somos grandes admiradores de administradores de contraseñas Cómo los administradores de contraseñas mantienen sus contraseñas segurasLas contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar a salvo? Necesitas un administrador de contraseñas. Así es como funcionan y cómo lo mantienen a salvo. Lee mas aquí en MakeUseOf. Facilitan su vida, aceleran muchos procesos y mejoran su seguridad. Pero también concentran su información confidencial de contraseña en un solo lugar, y eso puede ser peligroso.
Caso en cuestión: OneLogin, el productor de una aplicación de gestión de contraseñas e inicio de sesión único a nivel empresarial, fue pirateado el 31 de mayo de 2017. Y esas son realmente malas noticias. Esto es lo que sucedió, lo que debe hacer y algunas lecciones que podemos aprender.
¿Qué pasó en OneLogin?
Esto es lo que dice OneLogin:
"... un actor de amenazas usó una de nuestras claves de AWS para obtener acceso a nuestra plataforma de AWS a través de API desde un host intermedio con otro proveedor de servicios más pequeño en los Estados Unidos ..."
Qué significa eso? Significa que alguien estaba mirando los datos confidenciales de OneLogin. Y aunque gran parte de esa información está encriptada, OneLogin cree que los atacantes pudieron desencriptar al menos parte de la información.
Tan pronto como los técnicos de OneLogin detectaron la intrusión, cerraron los sistemas infiltrados. Desafortunadamente, se informó que no detectaron la intrusión hasta siete horas después de que comenzó. Es mucho tiempo para estar hurgando en datos confidenciales.
¿A qué tipo de datos podrían tener acceso los atacantes?
"El actor de la amenaza pudo acceder a las tablas de la base de datos que contienen información sobre usuarios, aplicaciones y varios tipos de claves".
Si bien no está claro exactamente cuál es el alcance de esa lista, definitivamente es un montón de cosas sensibles.
Para su crédito, OneLogin ha sido muy directo sobre este incidente. Han guardado un publicación de blog actualizada en su sitio, se comunicaron con los clientes sobre el ataque y brindaron asesoramiento sobre qué hacer. Hasta el momento no hay indicios de que la compañía haya ofuscado lo sucedido. (Aunque pueden haber minimizado un poco la seriedad del ataque).
Qué debe hacer si usa OneLogin
OneLogin lanzó rápidamente una guía para ayudar a los usuarios a mitigar cualquier efecto del ataque (El registro además publicado esta lista para no clientes). La lista incluye restablecimientos de contraseña, nuevos tokens de autenticación, eliminación de notas seguras y una serie de otras sugerencias técnicas a nivel de administrador.
Sin embargo, si es usuario de OneLogin, el curso de acción obvio es mucho más simple: cambie sus contraseñas y actualice sus tokens de autenticación. Tomará un tiempo, pero vale la pena hacerlo, porque hay una muy buena posibilidad de que alguien tenga acceso a todo lo que almacenó en su cuenta. Cambia tu contraseña maestra, cambia las contraseñas de tus aplicaciones, cambia todo lo que almacenaste en OneLogin.
Y destroza tus notas seguras.
Sí, va a apestar. Pero va a succionar mucho menos que tener uno de sus servicios importantes asumido por un atacante (o, posiblemente peor, retenido por rescate).
Lo que podemos aprender del truco de OneLogin
La primera y más preocupante lección es clara: las empresas de inicio de sesión único (SSO) y de administración de contraseñas no son inmunes a las amenazas de seguridad. Estas compañías saben que la seguridad es un gran problema para sus clientes y que tienen una gran cantidad de información valiosa.
Pero suceden cosas malas. En este caso, las claves API que dieron acceso a los atacantes a OneLogin se originaron "desde un host intermedio con otro, más pequeño proveedor de servicios en los Estados Unidos " A pesar de la dedicación de OneLogin a la seguridad, las deficiencias de otra compañía pueden haber permitido que los atacantes en.
Desafortunadamente, ninguna compañía es a prueba de piratería. La gestión de contraseñas y las empresas de SSO se toman muy en serio la seguridad y, en general, hacen un buen trabajo. Pero esto estaba destinado a suceder.
En el futuro, ¿qué puedes hacer? Aquí hay algunas cosas a tener en cuenta al usar este tipo de servicios.
Almacenar todo en un solo lugar es una mala idea
Obviamente, va a mantener sus contraseñas en su aplicación de administración de contraseñas. ¿Pero debería ser el repositorio de todos de su información sensible? Tal vez no.
Es fácil usar las notas seguras de LastPass, por ejemplo, para mantener la información de su cuenta bancaria o la contraseña de Wi-Fi de su hogar. Pero si ese servicio es pirateado, ahora estás viendo aún más problemas. Es posible que ya tenga la información de su tarjeta de crédito almacenada. Sin embargo, si agrega algunas piezas clave más de información 10 piezas de información que se utilizan para robar su identidadEl robo de identidad puede ser costoso. Aquí están las 10 piezas de información que necesita proteger para que su identidad no sea robada. Lee mas , el robo de identidad se vuelve mucho más fácil.
Considere usar otro servicio encriptado que no almacene información en la nube, como SplashID, o solo cifrar y proteger con contraseña una carpeta en su computadora Cómo proteger con contraseña una carpeta en Windows¿Necesita mantener una carpeta de Windows privada? Aquí hay algunos métodos que puede usar para proteger con contraseña sus archivos en una PC con Windows 10. Lee mas . Es un poco menos conveniente, pero podría reducir significativamente la cantidad de dificultad en caso de incumplimiento.
Piense dos veces sobre el inicio de sesión único
SSO es excelente porque ahorra un montón de tiempo y mantiene sus contraseñas al mínimo. OpenID, iniciar sesión con credenciales de redes sociales ¿Usando inicio de sesión social? Siga estos pasos para asegurar sus cuentasSi está utilizando un servicio de inicio de sesión social (como Google o Facebook), entonces podría pensar que todo es seguro. No es así, es hora de echar un vistazo a las debilidades de los inicios de sesión sociales. Lee mas , y otros métodos similares son bastante populares. (Para ser completamente honesto, los uso yo mismo).
La opción más segura es simplemente abrir una cuenta con su dirección de correo electrónico para cada sitio. Si está utilizando un administrador de contraseñas, esto es fácil. No es tan fácil como OAuth o un inicio de sesión similar con un solo clic, pero es definitivamente más seguro Cómo millones de aplicaciones son vulnerables a un solo hack de seguridadOAuth es un estándar abierto que le permite iniciar sesión en una aplicación o sitio web de terceros utilizando una cuenta de Facebook, Twitter o Google, y es vulnerable a los piratas informáticos. Lee mas .
Para ser justos, algunas personas fomentan el uso del inicio de sesión único como práctica de seguridad. Sopesa tus opciones.
Utilice la autenticación de dos factores en servicios importantes
Hemos hablado de la autenticación de dos factores innumerables veces, pero si no está familiarizado con ella, Lee todos los detalles ¿Qué es la autenticación de dos factores y por qué debe usarla?La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con tarjeta de crédito no solo requiere la tarjeta, ... Lee mas y aprender qué servicios pueden usarlo Bloquee estos servicios ahora con autenticación de dos factoresLa autenticación de dos factores es la forma inteligente de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. Lee mas . Entonces enciéndelo.
¿Para qué servicios debe usar la autenticación de dos factores? En resumen, tantos como puedas. Sus servicios más importantes, como el correo electrónico, la banca y el almacenamiento en la nube, definitivamente deberían estar protegidos por él. Cualquier otra cosa es una bonificación. Hazlo ahora.
Estar atento
Los usuarios de OneLogin aprendieron una dura lección: ningún servicio es 100 por ciento seguro. Esta fue una forma particularmente dura de aprender esta lección, pero a la larga, puede ser lo mejor. Si es usuario de OneLogin, debería ocuparse de recoger las piezas. Si no lo eres, considérate afortunado y toma medidas para asegurarte de que no te suceda.
¿Te afectó el hack de OneLogin? ¿Te hace pensar dos veces sobre los administradores de contraseñas o las aplicaciones de inicio de sesión único? ¡Comparte tus pensamientos en los comentarios a continuación!
Dann es un consultor de estrategia de contenido y marketing que ayuda a las empresas a generar demanda y clientes potenciales. También bloguea sobre estrategia y marketing de contenidos en dannalbright.com.
