Passwordmanager ramt af datalæk

Single-sign-on-servicen OneLogin har lækket krypteret information.

Single-Sign-on er tidsbesparende, men også lidt af et problem, hvis kodeordene lækkes.

Det er sket for passwordmanageren OneLogin, som har lækket passwordnøgler fra millioner af brugere på tjenesten. Det skriver BBC.

Lækket skal angiveligt have gjort alle OneLogins brugere åbne for angreb. Hvor mange brugere tjenesten har i dag, er ikke oplyst, men i 2013 drejede det sig om 700 virksomheder og 12 millioner brugere.

Læs også: Datatilsynet: Læk af 95.000 jobansøgeres data fra Novo Nordisk er ‘meget beklagelig’

Ifølge OneLogin er lækket nu stoppet og anmeldt det til myndighederne.

I en besked til alle OneLogins brugere - som man skal logge på tjenesten for at se - fremgår det, at samtlige brugere nu blandt skal andet skifte password og fremstille nye loginoplysninger og certifikater til de apps og sider, som passwordene gælder til.

Læs også: Flere politikeres kodeord til blandt andet Dropbox lagt tilgængelige på internettet

Stærk kryptering er vejen frem

Flere eksperter har kritiseret lækket hos OneLogin. Blandt andre siger professor Bill Buchanan fra det skotske universitet Edinburgh Napier University til BBC, at virksomheder, der arbejder med nøgler i skyer skal være meget opmærksomme på at kryptere, samt at de krypterede nøgler ikke kommer i de forkerte hænder.

Han mener, at det er noget nær umuligt at dekryptere stærke krypteringer - med mindre at nøglen til krypteringen er for simpel.

Læs også: 32 millioner Yahoo-konti blev tilgået via forfalskede cookies

OneLogin kan for eksempel bruges til Amazon Web Services, Microsoft Office 365, Slack, Cisco Webex, Google Analytics og LinkedIn.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ebbe Hansen

er noget fanden har skabt. Og sikre adgangskoder er på sigt nærmest utænkelige :-(

Jeg ved ikke hvad fremtiden bringer i den her retning, men som det er lige nu, så vil stort set enhver kode kunne knækkes indenfor en kortere årrække, så der er behov for at autentificere på andre leder fremover.

  • 0
  • 0
Morten Christiansen

Jeg kunne aldrig finde på at bruge det som ligger på servere jeg ikke er herre over, det er jo her hvor det hele går galt.

Hvis det liger på egen computer/server der i mod, så er risikoen minimal for at adskillige personer for lækket deres personlige adgangskoder, og hackeren vil være nød til at skulle bruge mere tid på at samle oplysninger.

Fakta er: alt hvad der køre som online vault for flere tusinde bruger gør blackhats en god sags tjeneste.

Til slut: kig efter password manager der kan køre offline og hold op med at bruge den slags pjat som lastpass MM, det kan også kan krænke privatlivets fred.

  • 0
  • 0
Peter O. Gram

Adgangskoder kan godt være sikre. Også i al fremtid. Hvis nu adgangskoden indeholder flere kombinationsmuligheder, end der er elementarpartikler i det kendte univers, så er det næppe muligt at prøve dem alle af. Men det er en gratis omgang at påstå, at dette eller hint er usikkert, fordi det er så fandens svært at modbevise.

Men apropos fremtiden, så kig fx på behaviosec.com. Alle de biometrikker, man kan måle på en mobiltelefon, gør identifikationen af brugeren 100% sikker. Påstås det fra pålidelig kilde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere