Evernote-hakkeri osoittaa, että salasanat eivät ole tarpeeksi hyviä

Evernote paljasti viikonloppuna, että se oli tietojen rikkomuksen uhri, lähettämällä käyttäjille sähköpostia ja lähettämällä verkkosivustolleen ilmoituksen siitä, että hyökkääjät olivat päässeet käyttäjätunnuksiin, sähköpostiosoitteisiin ja salattuja salasanoja Evernote-tileillä. Varotoimenpiteenä Evernote pakotti kaikki 50 miljoonaa käyttäjää palauttamaan salasanansa. Tämä on hyvä askel, mutta se ei todellakaan ole tarpeeksi hyvä, joten Evernote kiihdytti suunnitelmansa kaksitekijärjestelmän autentikoinnissa.

Evernote-käyttäjät olivat lukittuneita tileistäan, kunnes he muuttivat salasanansa.

Evernote ei ollut " t alunperin suunniteltu liiketoimintapalveluiksi, ainakin Evernote for Business -tuotteen joulukuuhun saakka. Evernote on ensisijaisesti Microsoftin OneNote-ohjelmiston kaltainen muistiinpano- ja organisaatiotyökalu. Evernote tarjoaa erilaisia ​​palveluita - kuten Evernote Food, Evernote Peek, Skitch, Penultimate ja enemmän - web-pohjaisina työkaluina tai sovelluksina useissa käyttöjärjestelmissä ja mobiililaitteissa. Sen kyky käyttää ja synkronoida tietoja laajan valikoiman laitteista tekee siitä miellyttävän liiketoimintatyökalun.

Evernote on luonteeltaan erinomainen esimerkki palvelusta, jossa tallennat sekä henkilökohtaisia ​​että ammatillisia tietoja. Kuten mikä tahansa pilvipohjainen palvelu, sillä on jokin luontainen riski. Aina kun sijoitat liiketoimintatiedot pilviin - erityisen arkaluonteisia tietoja, kuten asiakkaiden nimeä tai osoitteita, pankki- tai rahoitustietoja tai yrityksen omia yrityksiä - olet luottamassa myyjään suojaamaan sitä.

[Lue lisää: Parhaat TV-suoratoistopalvelut]

Yksi salasana hallita kaikkia?

Hyökkäyksen jälkeen, Evernote painoi ohjelmistopäivitystä.

Evernote väittää, että hyökkääjien salaamat salasanat on salattu, mutta silti kaikki käyttäjät valitsevat uusia salasanoja vain siinä tapauksessa. Kuten arvostettu turvallisuusviranomainen Brian Krebs toteaa blogikirjoituksensa Evernote-rikkomuksesta, myyjien salasanatietojen salakuunteluun käyttämät tavanomaiset hajautusalgoritmit tarjoavat triviaaleja suojauksia, jotka voidaan säröillä suhteellisen helposti.

Yksi ratkaisu olisi käyttää voimakkaampaa salasanoja tai salasanoja ja että et käytä samaa salasanaa useammalle kuin yhdelle palvelulle. Kun tietosuoja rikkoutuu yhdellä myyjällä, se voi altistaa salasanasi, mikä voi sallia hyökkääjän pääsyn kaikkiin tileihiisi sen sijaan, että se rajoittaisi vahingon rikkomisen.

Tietenkin, kun muistetaan kymmeniä tai satoja salasanat ovat hieman herkulainen tehtävä - varsinkin jos käytät vahvoja, monimutkaisia ​​salasanoja. Minun PCWorld-vertaistani John Mello ehdottaa muutamia vaihtoehtoja salasanojen hallinnan yksinkertaistamiseksi, kuten OneID, KeePass ja RoboForm.

Evernote-hakkerin todellinen oppitunti on kuitenkin, että salasanat eivät tarjoa erittäin hyvää tietosuojaasi. Ainutlaatuiset salasanat, jotka ovat monimutkaisia, tarjoavat paremman suojauksen kuin käyttämäsi koiran nimen tai salasanan, mutta viime kädessä kaikki salasanat voidaan säröillä tai arvailla riittävästi aikaa ja vaivaa.

Siirtyminen monitekijän todentamiseen

Esimerkki kahden tekijän todentamisesta työssä

Multi-factor authentication

Multi-factor authentication tarjoaa ylimääräisen suojakerroksen tietojen suojaamiseksi. Esimerkiksi puhelinvarmistus voi merkittävästi lisätä turvallisuutta. Olet todennäköisesti kohdannut puhelupohjaisen todennuksen kyselyn, kun yrität kirjautua pankin verkkosivustoon laitteesta, jota et käytä normaalisti.

Puhelinpohjaisella todennuksella lähetetään satunnaista tai kertaluonteista koodia matkapuhelimeen, ja se on syötettävä tavallisen käyttäjätunnuksen ja salasanan lisäksi. Jotkin ratkaisut käyttävät mobiilisovellusta tuottamaan kertaluonteisen PIN-koodin. Joka tapauksessa, jotta hyökkääjä voi käyttää tiliä, heidän pitäisi molemmat haljeta salasanasi ja olla matkapuhelimesi hallussa.