विज्ञापन
हम बड़े प्रशंसक हैं पासवर्ड मैनेजर पासवर्ड मैनेजर कैसे आपके पासवर्ड को सुरक्षित रखते हैंऐसे पासवर्ड जिन्हें क्रैक करना मुश्किल है, उन्हें याद रखना भी मुश्किल है। सुरक्षित रहना चाहते हैं? आपको पासवर्ड मैनेजर चाहिए। यहां बताया गया है कि वे कैसे काम करते हैं और वे आपको कैसे सुरक्षित रखते हैं। अधिक पढ़ें यहाँ MakeUseOf पर। वे आपके जीवन को आसान बनाते हैं, बहुत सारी प्रक्रियाओं को गति देते हैं, और आपकी सुरक्षा में सुधार करते हैं। लेकिन वे आपकी संवेदनशील पासवर्ड जानकारी को एक ही स्थान पर केंद्रित करते हैं - और यह खतरनाक हो सकता है।
पॉइंट इन केस: 31 मई, 2017 को एंटरप्राइज-लेवल सिंगल साइन-ऑन और पासवर्ड मैनेजमेंट ऐप के निर्माता, OneLogin को हैक कर लिया गया था। और यह वास्तव में बुरी खबर है। यहाँ क्या हुआ, आपको क्या करना चाहिए, और कुछ सबक हम सीख सकते हैं।
OneLogin में क्या हुआ?
यहाँ OneLogin का क्या कहना है:
"... एक खतरा अभिनेता ने हमारे AWS कुंजियों में से एक का उपयोग हमारे AWS प्लेटफ़ॉर्म से API के माध्यम से एक अन्य, छोटे सेवा प्रदाता के साथ एक मध्यवर्ती होस्ट से API के माध्यम से करने के लिए किया ..."
इसका क्या मतलब है? इसका मतलब है कि कोई OneLogin के संवेदनशील डेटा के माध्यम से देख रहा था। और उस डेटा का अधिकांश भाग एन्क्रिप्टेड होने के बावजूद, OneLogin का मानना है कि हमलावर कम से कम कुछ डेटा को डिक्रिप्ट करने में सक्षम थे।
जैसे ही OneLogin Techs ने घुसपैठ का पता लगाया, उन्होंने घुसपैठ करने वाले सिस्टम को बंद कर दिया। दुर्भाग्य से, यह बताया गया है कि उन्होंने घुसपैठ शुरू होने के सात घंटे बाद तक इसका पता नहीं लगाया। यह संवेदनशील डेटा के माध्यम से प्रहार करने के लिए एक लंबा समय है।
हमलावरों के पास किस तरह का डेटा हो सकता है?
"खतरा अभिनेता डेटाबेस तालिकाओं तक पहुंचने में सक्षम था, जिसमें उपयोगकर्ता, एप्लिकेशन और विभिन्न प्रकार की कुंजियों के बारे में जानकारी होती है।"
हालांकि यह स्पष्ट नहीं है कि उस सूची का दायरा क्या है, यह निश्चित रूप से बहुत संवेदनशील सामग्री है।
अपने क्रेडिट के लिए, OneLogin इस घटना के बारे में बहुत ही सटीक है। वे एक रखा है अद्यतन ब्लॉग पोस्ट अपनी साइट पर, हमले के बारे में ग्राहकों के साथ संवाद किया, और क्या करना है पर सलाह प्रदान की। अब तक ऐसा कोई संकेत नहीं मिला है कि कंपनी ने जो किया है, उस पर आपत्ति जताई है। (हालांकि उन्होंने हमले की गंभीरता को कुछ हद तक कम कर दिया है।)
यदि आप OneLogin का उपयोग करते हैं तो आपको क्या करना चाहिए
OneLogin ने उपयोगकर्ताओं को हमले के किसी भी प्रभाव को कम करने में मदद करने के लिए एक गाइड जारी किया (रजिस्टर भी इस सूची को पोस्ट किया गैर-ग्राहकों के लिए)। सूची में पासवर्ड रीसेट, नए प्रमाणीकरण टोकन, सुरक्षित नोटों से छुटकारा, और कई अन्य तकनीकी, व्यवस्थापक-स्तरीय सुझाव शामिल हैं।
यदि आप हालांकि OneLogin के उपयोगकर्ता हैं, तो कार्रवाई का स्पष्ट तरीका बहुत सरल है: अपने पासवर्ड बदलें और अपने प्रमाणीकरण टोकन को अपडेट करें। इसमें कुछ समय लगने वाला है, लेकिन यह करने योग्य है, क्योंकि इस बात की बहुत अच्छी संभावना है कि आपके खाते में आपके द्वारा संग्रहित हर चीज तक किसी की पहुंच हो। अपना मास्टर पासवर्ड बदलें, अपने ऐप्स के पासवर्ड बदलें, OneLogin में आपके द्वारा संग्रहीत सभी चीज़ों को बदलें।
और अपने सुरक्षित नोटों को ट्रैश करें।
हाँ, यह चूसना है। लेकिन यह एक हमलावर द्वारा ली गई आपकी महत्वपूर्ण सेवाओं (या, संभवतः, फिरौती के लिए आयोजित की गई) से बहुत कम चूसना है।
हम OneLogin हैक से क्या सीख सकते हैं
पहला, और सबसे अधिक चिंताजनक, सबक स्पष्ट है: एकल साइन-ऑन (एसएसओ) और पासवर्ड प्रबंधन कंपनियां सुरक्षा खतरों के लिए प्रतिरक्षा नहीं हैं। इन कंपनियों को पता है कि सुरक्षा उनके ग्राहकों के लिए एक बड़ी बात है, और वे बहुत बड़ी मात्रा में मूल्यवान जानकारी रखते हैं।
लेकिन बुरी चीजें होती हैं। इस मामले में, API कुंजियाँ, जिन्होंने हमलावरों को OneLogin तक पहुंच प्रदान की, "एक दूसरे के साथ एक मध्यवर्ती मेजबान से उत्पन्न हुई, छोटी अमेरिका में सेवा प्रदाता OneLogin के सुरक्षा के प्रति समर्पण के बावजूद, किसी अन्य कंपनी की कमियों ने हमलावरों को जाने दिया में।
दुर्भाग्य से, कोई भी कंपनी हैक-प्रूफ नहीं है। पासवर्ड प्रबंधन और एसएसओ कंपनियां सुरक्षा को बहुत गंभीरता से लेती हैं, और आम तौर पर इसका अच्छा काम करती हैं। लेकिन ऐसा होना तय था।
आगे जाकर, आप क्या कर सकते हैं? इस प्रकार की सेवाओं का उपयोग करते समय कुछ बातों का ध्यान रखें।
एक जगह सब कुछ स्टोर करना एक बुरा विचार है
जाहिर है आप अपने पासवर्ड को अपने पासवर्ड प्रबंधन ऐप में रखने जा रहे हैं। लेकिन क्या इसके लिए भंडार होना चाहिए सब आपकी संवेदनशील जानकारी के लिए? शायद नहीं।
उदाहरण के लिए, लास्टपास के सुरक्षित नोटों का उपयोग करना आसान है, उदाहरण के लिए, अपने बैंक खाते की जानकारी या अपने घर के वाई-फाई पासवर्ड को रखना। लेकिन अगर वह सेवा हैक हो जाती है, तो आप अब और भी अधिक समस्याओं को देख रहे हैं। आपके पास अपने क्रेडिट कार्ड की जानकारी पहले से संग्रहीत हो सकती है। फिर भी अगर आप जोड़ते हैं जानकारी के कुछ और महत्वपूर्ण टुकड़े जानकारी के 10 टुकड़े जो आपकी पहचान को चुराने के लिए उपयोग किए जाते हैंपहचान की चोरी महंगी पड़ सकती है। यहां उन 10 टुकड़ों की जानकारी दी गई है जिनकी आपको सुरक्षा करने की आवश्यकता है ताकि आपकी पहचान चोरी न हो। अधिक पढ़ें , पहचान की चोरी बहुत आसान हो जाती है।
एक अन्य एन्क्रिप्टेड सेवा का उपयोग करने पर विचार करें जो क्लाउड में जानकारी संग्रहीत नहीं करता है, जैसे SplashID, या केवल एन्क्रिप्ट और पासवर्ड आपके कंप्यूटर पर एक फ़ोल्डर की रक्षा करते हैं विंडोज में पासवर्ड प्रोटेक्ट कैसे करेंविंडोज फोल्डर को निजी रखने की आवश्यकता है? विंडोज 10 पीसी पर अपनी फ़ाइलों की सुरक्षा के लिए आप कुछ तरीकों का उपयोग कर सकते हैं। अधिक पढ़ें . यह थोड़ा कम सुविधाजनक है, लेकिन यह उल्लंघन के मामले में कठिनाई की मात्रा को काफी कम कर सकता है।
सिंगल साइन-ऑन के बारे में दो बार सोचें
SSO महान है क्योंकि यह एक टन समय बचाता है और आपके पासवर्ड को न्यूनतम रखता है। OpenID, सामाजिक नेटवर्क क्रेडेंशियल्स के साथ साइन इन करना सामाजिक लॉगिन का उपयोग करना? अपने खातों को सुरक्षित करने के लिए ये कदम उठाएंयदि आप एक सामाजिक लॉगिन सेवा (जैसे Google या फेसबुक) का उपयोग कर रहे हैं, तो आप सोच सकते हैं कि सब कुछ सुरक्षित है। ऐसा नहीं है - यह सामाजिक लॉगिन की कमजोरियों पर एक नज़र डालने का समय है। अधिक पढ़ें , और इसी तरह के अन्य तरीके काफी लोकप्रिय हैं। (पूरी तरह से ईमानदार होने के लिए, मैं खुद इनका उपयोग करता हूं।)
अधिक सुरक्षित विकल्प केवल हर साइट के लिए अपने ईमेल पते के साथ एक खाता खोलना है। यदि आप पासवर्ड मैनेजर का उपयोग कर रहे हैं, तो यह आसान है। OAuth या एक समान एक-क्लिक साइन-ऑन जितना आसान नहीं है, लेकिन यह है निश्चित रूप से अधिक सुरक्षित कैसे लाखों ऐप्स एक सिंगल सिक्योरिटी हैक के लिए कमजोर हैंOAuth एक खुला मानक है जिसका उपयोग आप फेसबुक, ट्विटर या Google खाते का उपयोग करके किसी तृतीय-पक्ष ऐप या वेबसाइट पर लॉग इन करने के लिए कर सकते हैं - और यह हैकर्स के लिए असुरक्षित है। अधिक पढ़ें .
निष्पक्ष होने के लिए, कुछ लोग एक सुरक्षा अभ्यास के रूप में एकल साइन-ऑन के उपयोग को प्रोत्साहित करते हैं। अपने विकल्पों का वजन करें।
महत्वपूर्ण सेवाओं पर दो-कारक प्रमाणीकरण का उपयोग करें
हमने अनगिनत बार दो-कारक प्रमाणीकरण के बारे में बात की है, लेकिन अगर आप इससे परिचित नहीं हैं, इसके बारे में सब पढ़ें दो-कारक प्रमाणीकरण क्या है, और आपको इसका उपयोग क्यों करना चाहिएटू-फैक्टर ऑथेंटिकेशन (2FA) एक सुरक्षा विधि है जिसमें आपकी पहचान साबित करने के दो अलग-अलग तरीकों की आवश्यकता होती है। आमतौर पर इसका इस्तेमाल रोजमर्रा की जिंदगी में किया जाता है। उदाहरण के लिए क्रेडिट कार्ड से भुगतान करने पर न केवल कार्ड की आवश्यकता होती है, ... अधिक पढ़ें और जानें कौन सी सेवाएं इसका उपयोग कर सकती हैं दो-कारक प्रमाणीकरण के साथ अब इन सेवाओं को बंद कर देंदो-कारक प्रमाणीकरण आपके ऑनलाइन खातों की सुरक्षा का स्मार्ट तरीका है। आइए उन कुछ सेवाओं पर नज़र डालें जिन्हें आप बेहतर सुरक्षा के साथ लॉक-डाउन कर सकते हैं। अधिक पढ़ें . फिर इसे चालू करें।
आपको किन सेवाओं के लिए दो-कारक प्रमाणीकरण का उपयोग करना चाहिए? संक्षेप में, जितना आप कर सकते हैं। ईमेल, बैंकिंग और क्लाउड स्टोरेज जैसी आपकी सबसे महत्वपूर्ण सेवाओं को निश्चित रूप से इसके द्वारा संरक्षित किया जाना चाहिए। और कुछ भी एक बोनस है। अभी करो।
तेज बने रहे
OneLogin उपयोगकर्ताओं ने एक कठिन सबक सीखा: कोई भी सेवा 100 प्रतिशत सुरक्षित नहीं है। यह सबक सीखने के लिए एक विशेष रूप से कठोर तरीका था, लेकिन लंबे समय में, यह सबसे अच्छा हो सकता है। यदि आप OneLogin उपयोगकर्ता हैं, तो आपको टुकड़ों को चुनने में व्यस्त होना चाहिए। यदि आप नहीं हैं, तो अपने आप को भाग्यशाली समझें, और यह सुनिश्चित करने के लिए कदम उठाएँ कि यह आपके साथ नहीं होगा।
क्या आप OneLogin हैक से प्रभावित थे? क्या यह आपको पासवर्ड प्रबंधकों या एकल साइन-ऑन ऐप्स के बारे में दो बार सोचने देता है? नीचे टिप्पणी में अपने विचारों को साझा करें!
Dann एक कंटेंट स्ट्रैटेजी और मार्केटिंग कंसल्टेंट है, जो कंपनियों को डिमांड और लीड जेनरेट करने में मदद करता है। वह dannalbright.com पर रणनीति और सामग्री विपणन के बारे में भी ब्लॉग करता है।