热门标签 | HotTags
当前位置:  开发笔记 > 数据库 > 正文

密码管理公司

据外媒报道,周三(5月31日)密码和身份访问管理公司Onelogin承认,公司遭遇了数据泄露,并且数据量不小。数据泄露似乎不少见,但这家公司数据泄露,事情却不简单,因为他们的业务非

据外媒报道,周三(5月31日)密码和身份访问管理公司 Onelogin 承认,公司遭遇了数据泄露,并且数据量不小。

数据泄露似乎不少见,但这家公司数据泄露,事情却不简单,因为他们的业务非常特殊。

密码和身份访问管理服务是什么?雷锋网(公众号:雷锋网)先简单解释一下:

我们工作生活中有各种各样的账号密码,记不住,且容易输错。这时密码管理工具出现了,它可以帮你把所有账号密码记在软件里,有点像是把所有账号密码写在一个小本子上。

但是密码管理和小本子不完全一样,它还可以通过技术手段实现“单点登录”、“自动填充账号密码”等功能,让人们在上任何网站时都只需要同一个密码,甚至只需轻轻一点就能登录所有网站,方便至极。

密码管理公司 OneLogin 遭入侵,大量账号密码泄露

于是有人指出问题了:把所有密码放在一起,不就等于把鸡蛋放在一个篮子里么?

呃……理论上确实如此,不过这些密码管理服务通常会做很多安全工作,比如把数据加密。但是也只能将风险降至很低,无法彻底杜绝数据泄露。这不,Onelogin 就出事了。

出了什么事?

市面上的身份管理软件大致可分成两类:本地存储和云端存储。

本地存储,就是只提供密码管理工具,不提供密码管理服务。可以理解为只提供篮子给用户装鸡蛋,至于用户把篮子放家里,还是放在大街上,一概不管;

云端存储,就是提供密码管理工具同时提供密码管理服务,不仅提供篮子给用户,还会把所有的篮子都放在他们自家的安全仓库(数据中心服务器)里统一看管。

Onelogin 就是后面这种,他们会把用户的所有账号密码和身份信息都统一存储在数据中心。但是他们没有看管好自家仓库,结果有黑客溜进了他们存储美国区域数据的“仓库”,偷走了里面所有装满鸡蛋的篮子。

雷锋网了解到,Onelogin 公司在其发布的公告里表示:

美国的数据存储区域检测到了未经授权的访问数据。

简而言之就是发现有人成功入侵过。

虽然公告中没有说清楚到底有什么数据被黑客窃取,不过在他们发送给客户的支持页面中却清清白白地写明,所有存储在美国数据中心的客户数据都已经失窃

在他们发送给用户的邮件中写道:

用户数据遭到了盗用,包括解密加密数据的能力。

也就是说,黑客不仅偷走了被加密的数据,还可能盗走了解密用的密钥,所有的加密措施完全失效。

据雷锋网了解,Onelogin 的主要业务是为企业提供账号安全服务,数据库一旦失窃,意味着他们的企业用户的所有账号密码都面临威胁。相信在看到数据泄露公告时,他们的企业客户都忍不住跳起来说脏话。

目前,Onelogin 公司已经联系相关安全公司和执法部门在紧急处理此事并探讨和验证事件的影响程度。同时发出通告,告知所有客户重置所有密码。

账号管理的矛盾

其实账号身份统一管理的安全争议和质疑一直都在。

每个网站都有各自独立的账号密码体系,而且要求使用复杂密码,这对用户简直是种折磨;

密码管理公司 OneLogin 遭入侵,大量账号密码泄露

▲ 多少人面对密码框抓狂过?

可是账号统一之后,一旦该账号被盗,所有全军覆没;把所有密码统一放在密码管理器里,一旦被盗,也是全军覆没。

而且,即使不用密码管理软件,同样会出现问题。2016年移动安全报告显示,有七成以上用户在几乎所有网络账号都使用同一用户名与密码。这又何尝不是另一种形式的“鸡蛋放在一个篮子里”呢?而这也是“撞库”事件频发的主要原因。如果无论如何鸡蛋都在同一个篮子里,唯一的办法就是把篮子做得更安全难以攻破。

虽然这次发生数据泄露的是一家美国公司,且并没有在中国大量开展业务,但相信此次事件依然给国内做类似业务的公司敲了一个警钟。


推荐阅读
  • 本文详细介绍如何利用已搭建的LAMP(Linux、Apache、MySQL、PHP)环境,快速创建一个基于WordPress的内容管理系统(CMS)。WordPress是一款流行的开源博客平台,适用于个人或小型团队使用。 ... [详细]
  • 福克斯新闻数据库配置失误导致1300万条敏感记录泄露
    由于数据库配置错误,福克斯新闻暴露了一个58GB的未受保护数据库,其中包含约1300万条网络内容管理记录。任何互联网用户都可以访问这些数据,引发了严重的安全风险。 ... [详细]
  • Python + Pytest 接口自动化测试中 Token 关联登录的实现方法
    本文将深入探讨 Python 和 Pytest 在接口自动化测试中如何实现 Token 关联登录,内容详尽、逻辑清晰,旨在帮助读者掌握这一关键技能。 ... [详细]
  • 本主题面向IT专业人士,介绍了Windows Server 2012 R2和Windows Server 2012中的组托管服务账户(gMSA),涵盖了其应用场景、功能改进、硬件和软件要求以及相关资源。 ... [详细]
  • 深入解析Redis内存对象模型
    本文详细介绍了Redis内存对象模型的关键知识点,包括内存统计、内存分配、数据存储细节及优化策略。通过实际案例和专业分析,帮助读者全面理解Redis内存管理机制。 ... [详细]
  • 本文探讨了Java编程的核心要素,特别是其面向对象的特性,并详细介绍了Java虚拟机、类装载器体系结构、Java类文件和Java API等关键技术。这些技术使得Java成为一种功能强大且易于使用的编程语言。 ... [详细]
  • 阿里云ecs怎么配置php环境,阿里云ecs配置选择 ... [详细]
  • 采用IKE方式建立IPsec安全隧道
    一、【组网和实验环境】按如上的接口ip先作配置,再作ipsec的相关配置,配置文本见文章最后本文实验采用的交换机是H3C模拟器,下载地址如 ... [详细]
  • 本文介绍了数据库体系的基础知识,涵盖关系型数据库(如MySQL)和非关系型数据库(如MongoDB)的基本操作及高级功能。通过三个阶段的学习路径——基础、优化和部署,帮助读者全面掌握数据库的使用和管理。 ... [详细]
  • 本文详细介绍了优化DB2数据库性能的多种方法,涵盖统计信息更新、缓冲池调整、日志缓冲区配置、应用程序堆大小设置、排序堆参数调整、代理程序管理、锁机制优化、活动应用程序限制、页清除程序配置、I/O服务器数量设定以及编入组提交数调整等方面。通过这些技术手段,可以显著提升数据库的运行效率和响应速度。 ... [详细]
  • 本文回顾了2017年的转型和2018年的收获,分享了几家知名互联网公司提供的工作机会及面试体验。 ... [详细]
  • 优化SQL Server批量数据插入存储过程的实现
    本文介绍了一种改进的SQL Server存储过程,用于生成批量插入语句。该方法不仅提高了性能,还支持单行和多行模式,适用于SQL Server 2005及以上版本。 ... [详细]
  • Django Token 认证详解与 HTTP 401、403 状态码的区别
    本文详细介绍了如何在 Django 中配置和使用 Token 认证,并解释了 HTTP 401 和 HTTP 403 状态码的区别。通过具体的代码示例,帮助开发者理解认证机制及权限控制。 ... [详细]
  • 软件工程课堂测试2
    要做一个简单的保存网页界面,首先用jsp写出保存界面,本次界面比较简单,首先是三个提示语,后面是三个输入框,然 ... [详细]
  • CentOS 7.6环境下Prometheus与Grafana的集成部署指南
    本文旨在提供一套详细的步骤,指导读者如何在CentOS 7.6操作系统上成功安装和配置Prometheus 2.17.1及Grafana 6.7.2-1,实现高效的数据监控与可视化。 ... [详细]
author-avatar
sjxs198422
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有