Passwordmanager ramt af datalæk

3 kommentarer.  Hop til debatten
Single-sign-on-servicen OneLogin har lækket krypteret information.
2. juni 2017 kl. 13:16
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Single-Sign-on er tidsbesparende, men også lidt af et problem, hvis kodeordene lækkes.

Det er sket for passwordmanageren OneLogin, som har lækket passwordnøgler fra millioner af brugere på tjenesten. Det skriver BBC.

Lækket skal angiveligt have gjort alle OneLogins brugere åbne for angreb. Hvor mange brugere tjenesten har i dag, er ikke oplyst, men i 2013 drejede det sig om 700 virksomheder og 12 millioner brugere.

Ifølge OneLogin er lækket nu stoppet og anmeldt det til myndighederne.

Artiklen fortsætter efter annoncen

I en besked til alle OneLogins brugere - som man skal logge på tjenesten for at se - fremgår det, at samtlige brugere nu blandt skal andet skifte password og fremstille nye loginoplysninger og certifikater til de apps og sider, som passwordene gælder til.

Stærk kryptering er vejen frem

Flere eksperter har kritiseret lækket hos OneLogin. Blandt andre siger professor Bill Buchanan fra det skotske universitet Edinburgh Napier University til BBC, at virksomheder, der arbejder med nøgler i skyer skal være meget opmærksomme på at kryptere, samt at de krypterede nøgler ikke kommer i de forkerte hænder.

Han mener, at det er noget nær umuligt at dekryptere stærke krypteringer - med mindre at nøglen til krypteringen er for simpel.

OneLogin kan for eksempel bruges til Amazon Web Services, Microsoft Office 365, Slack, Cisco Webex, Google Analytics og LinkedIn.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
13. juli 2017 kl. 11:25

Adgangskoder kan godt være sikre. Også i al fremtid. Hvis nu adgangskoden indeholder flere kombinationsmuligheder, end der er elementarpartikler i det kendte univers, så er det næppe muligt at prøve dem alle af. Men det er en gratis omgang at påstå, at dette eller hint er usikkert, fordi det er så fandens svært at modbevise.

Men apropos fremtiden, så kig fx på behaviosec.com. Alle de biometrikker, man kan måle på en mobiltelefon, gør identifikationen af brugeren 100% sikker. Påstås det fra pålidelig kilde.

2
3. juni 2017 kl. 18:00

Jeg kunne aldrig finde på at bruge det som ligger på servere jeg ikke er herre over, det er jo her hvor det hele går galt.

Hvis det liger på egen computer/server der i mod, så er risikoen minimal for at adskillige personer for lækket deres personlige adgangskoder, og hackeren vil være nød til at skulle bruge mere tid på at samle oplysninger.

Fakta er: alt hvad der køre som online vault for flere tusinde bruger gør blackhats en god sags tjeneste.

Til slut: kig efter password manager der kan køre offline og hold op med at bruge den slags pjat som lastpass MM, det kan også kan krænke privatlivets fred.

1
3. juni 2017 kl. 12:16

er noget fanden har skabt. Og sikre adgangskoder er på sigt nærmest utænkelige :-(

Jeg ved ikke hvad fremtiden bringer i den her retning, men som det er lige nu, så vil stort set enhver kode kunne knækkes indenfor en kortere årrække, så der er behov for at autentificere på andre leder fremover.