Proponha uma correção, faça uma sugestão
Se é cliente do OneLogin, é hora de se começar a preocupar
Os serviços de gestão de passwords baseados na Internet pretendem ser uma ajuda para gerir e guardas os nossos dados de acesso a sites e a outros serviços críticos.
Espera-se que o seu grau de segurança seja elevado e que protejam os utilizadores. Infelizmente não foi isso que aconteceu com o serviço OneLogin, que esta semana anunciou que tinham sido roubados dados de clientes dos seus servidores.
À semelhança de muitos outros serviços, o OneLogin quer garantir aos utilizadores um ambiente em que estes têm acesso às suas palavras-passe de forma segura e que estas são automaticamente preenchidas no browser e noutras aplicações.
O roubo de dados na OneLogin
Com a ideia de garantir a máxima segurança aos utilizadores, têm também de garantir que os seus serviços são seguros. Isso não aconteceu e a empresa revelou no final da semana que os seus serviços tinham sido comprometidos e que foram roubados dados das contas dos utilizadores.
All customers served by our US data center are affected; customer data was compromised, including the ability to decrypt encrypted data
A empresa já comunicou por email aos utilizadores visados, mas é de todo importante que, pelo menos, os restantes utilizadores alterem a sua palavra-passe de acesso.
A importância e o impacto deste ataque
Ao contrário de outros ataques, a outros serviços similares, o que o OneLogin sofreu tem uma importância mais elevada e um impacto muito maior. Isto acontece porque as chaves de cifra dos dados guardados, que estão na posse do próprio OneLogin, foram também roubados. Na prática isto significa que os atacantes podem ter acesso aos dados em claro dos utilizadores e que os podem explorar.
Isto vai obrigar a que não sejam apenas os dados de acesso ao OneLogin tenham de ser mudados, mas também todos os restantes, guardados de forma supostamente segura. Este deverá ser um processo a ser realizado com a máxima urgência, para impedir o acesso a informação sensível ou até dados confidenciais.
Este ataque mostra também que estes serviços estão expostos a problemas e que nunca devemos ter uma confiança cego neles, por poderem ser vítimas de roubo de dados, perdendo a sua aura de segurança impenetrável.
Fonte: OneLogin
Este artigo tem mais de um ano
Loading ...
Eu uso um livrinho onde anoto tudo com algumas manhas só do meu conhecimento e que guardo em local recatado.
Se mo roubarem, pelo menos, eu saberei que aconteceu e quando.
Em serviços destes ficaria sempre desconfiado.
x2
Tenho 1 ficheiro Excel no Google Drive com todos os users e passwords guardados e organizados, simples e explicito, já que tenho tantas contas de tanta coisa e por vezes varias contas do mesmo serviço, nunca usarei esses serviços “especializados”
És um alvo interessante para qualquer hacker, portanto. Por outras palavras, pões-te a jeito!
Que resposta mais impulsiva e infundamentada, previsível… se 1 hacker tiver acesso ao teu email não daria igual? Mudava a pass de qualquer outro site e pronto. Aqui vai dar o mesmo e 1º tem de saber de tal coisa… Até porque as contas Google agora têm vários mecanismos de segurança na autenticação e também notificam.
Pior é ter centenas de contas em lado nenhum, por vezes serviços que são usados muito raramente. Eu não uso a mesma password em tudo, e por vezes os usernames também variam.
Ao menos guardavas o ficheiro Excel num pendrive guardada num sitio seguro!
Guardar as passw todas na nuvem num ficheiro excel como backup nao tem mal, no entanto esse file tem que estar encriptado por exemplo:
AES+Serpent+Twofish com SHA512
O hacker pode tentar anos e anos que nunca vai conseguir nada, claro que isto foi encriptado do teu lado antes de enviar com uma chave tua longa.
lol agora chorem, não foi por falta de aviso.
Meter os ovos todos no mesmo cesto nunca é o mais seguro.
+ 1
Que situação previsível ..
é quase como escrever o pin num post-it e colar no cartão multibanco.
😀
Passwords na cloud? Nunca fui nisso e um dos critérios na escolha de um bom password manager deve ser a possibilidade de fazer backup das passwords, mas jamais para a cloud.
Keepass, mai nada.
Se conseguirem aceder ao teu .kbx, podem facilmente lançar um ataque brute force. Mas nos dias de hoje, o mais fácil é instalar um malware na tua máquina que descubra onde tens o dito e capture a password com o que o abres…
Como uso Sticky Password, perguntei-lhes se o serviço deles poderia ser afectado. Eis a resposta deles:
Hi TrasMontano, a bit more info for you: OneLogin is a single-sign-on service. These types of services typically work on the basis that access to users’ decrypted credentials is required on their server in order to work across many sites – for that reason they must be able to decrypt credentials on the server side. So, if an attacker gets access to the servers, he may be able to get to decrypted data.
On the other hand, Sticky Password encrypts/decrypts your credentials only locally on your device – we use cloud servers only to sync encrypted credentials between your devices. We’re not able, and neither is any attacker, to decrypt your data on the server. The encryption key is derived only on your device from your master password using strongest encryption algorithm available
Em vez de terem passwords de 256 letras, carácteres especiais e símbolos, é muito mais seguro terem um password de 8 letras e 2 números. Desde 2013 que a maioria dos serviços não permite ataques brutos. Por isso, para roubarem as passwords, costumam usar sniffers para encontrar estes serviços de guardar passwords e os programas, muito usados nos telemóveis, onde se guardam as senhas todas e se usam… ignorando que basta roubarem um simples ficheiro de texto e tem acesso aos usernames e passwords do utilizador.
Uso o Keepass pelo facto de não guardar nada na cloud, é tudo local, acho que para Gestão de Passwords é dos melhorzitos que por aí anda
Localmente não estás necessariamente mais seguro…
Confiar em serviços desta natureza para guardar as passwords…confesso que nem sei caracterizar isso. Acho que é simplesmente parvo, para não dizer outra coisa. Eu tenho uma cábula com as minhas passwords, mesmo assim os apontamentos na cábula são codificados a partir de mnemónicas que só eu sei. Ou seja…quem for ver as minhas cábulas, pode vê-las…mas mesmo assim não vai perceber nada do que lá está.
Não é surpresa que também estes tenham sido atacados, surpresa sim é o que conseguiram. E agora todos os que subscreveram o serviço deles vão pedir indemnização pela falha, e agora é começa declínio.. Não vejo grande futuro a esta empresa
Como conseguem criar serviços deste tipo para proteger o que nunca foi seguro? E não o será tão cedo. Pior é quem utiliza estes serviços. A segurança na web não está pronta e muito longe do seu auge. Mas não é so o One Login.
Com um pouco de eng. social + o melhor amigo do Hacker, o google = easy pizi lemon squizy