热门标签 | HotTags
当前位置:  开发笔记 > 数据库 > 正文

密码管理公司OneLogin遭入侵,大量账号密码泄露

【黑客联盟2017年06月05日讯】密码和身份访问管理公司Onelogin承认,公司遭遇了数据泄露,并且数据量不小。数据泄露似乎不少见,但

【黑客联盟2017年06月05日讯】密码和身份访问管理公司 Onelogin 承认,公司遭遇了数据泄露,并且数据量不小。

数据泄露似乎不少见,但这家公司数据泄露,事情却不简单,因为他们的业务非常特殊。

密码和身份访问管理服务是什么?小编先简单解释一下:

我们工作生活中有各种各样的账号密码,记不住,且容易输错。这时密码管理工具出现了,它可以帮你把所有账号密码记在软件里,有点像是把所有账号密码写在一个小本子上。

但是密码管理和小本子不完全一样,它还可以通过技术手段实现“单点登录”、“自动填充账号密码”等功能,让人们在上任何网站时都只需要同一个密码,甚至只需轻轻一点就能登录所有网站,方便至极。

10011226_pJPG.jpg

于是有人指出问题了:把所有密码放在一起,不就等于把鸡蛋放在一个篮子里么?

呃……理论上确实如此,不过这些密码管理服务通常会做很多安全工作,比如把数据加密。但是也只能将风险降至很低,无法彻底杜绝数据泄露。这不,Onelogin 就出事了。

出了什么事?

市面上的身份管理软件大致可分成两类:本地存储和云端存储。

本地存储,就是只提供密码管理工具,不提供密码管理服务。可以理解为只提供篮子给用户装鸡蛋,至于用户把篮子放家里,还是放在大街上,一概不管;

云端存储,就是提供密码管理工具同时提供密码管理服务,不仅提供篮子给用户,还会把所有的篮子都放在他们自家的安全仓库(数据中心服务器)里统一看管。

Onelogin 就是后面这种,他们会把用户的所有账号密码和身份信息都统一存储在数据中心。但是他们没有看管好自家仓库,结果有黑客溜进了他们存储美国区域数据的“仓库”,偷走了里面所有装满鸡蛋的篮子。

小编了解到,Onelogin 公司在其发布的公告里表示:

美国的数据存储区域检测到了未经授权的访问数据。

简而言之就是发现有人成功入侵过。

虽然公告中没有说清楚到底有什么数据被黑客窃取,不过在他们发送给客户的支持页面中却清清白白地写明,所有存储在美国数据中心的客户数据都已经失窃。

在他们发送给用户的邮件中写道:

用户数据遭到了盗用,包括解密加密数据的能力。

也就是说,黑客不仅偷走了被加密的数据,还可能盗走了解密用的密钥,所有的加密措施完全失效

据小编了解,Onelogin 的主要业务是为企业提供账号安全服务,数据库一旦失窃,意味着他们的企业用户的所有账号密码都面临威胁。相信在看到数据泄露公告时,他们的企业客户都忍不住跳起来说脏话。

目前,Onelogin 公司已经联系相关安全公司和执法部门在紧急处理此事并探讨和验证事件的影响程度。同时发出通告,告知所有客户重置所有密码。

账号管理的矛盾

其实账号身份统一管理的安全争议和质疑一直都在。

每个网站都有各自独立的账号密码体系,而且要求使用复杂密码,这对用户简直是种折磨;

10011227_ZnLn.jpg

▲ 多少人面对密码框抓狂过?

可是账号统一之后,一旦该账号被盗,所有全军覆没;把所有密码统一放在密码管理器里,一旦被盗,也是全军覆没。

而且,即使不用密码管理软件,同样会出现问题。2016年移动安全报告显示,有七成以上用户在几乎所有网络账号都使用同一用户名与密码。这又何尝不是另一种形式的“鸡蛋放在一个篮子里”呢?而这也是“撞库”事件频发的主要原因。如果无论如何鸡蛋都在同一个篮子里,唯一的办法就是把篮子做得更安全难以攻破。

虽然这次发生数据泄露的是一家美国公司,且并没有在中国大量开展业务,但相信此次事件依然给国内做类似业务的公司敲了一个警钟。

转:https://my.oschina.net/u/3579120/blog/1533071



推荐阅读
  • 本文分享了一位Android开发者多年来对于Android开发所需掌握的技能的笔记,包括架构师基础、高级UI开源框架、Android Framework开发、性能优化、音视频精编源码解析、Flutter学习进阶、微信小程序开发以及百大框架源码解读等方面的知识。文章强调了技术栈和布局的重要性,鼓励开发者做好学习规划和技术布局,以提升自己的竞争力和市场价值。 ... [详细]
  • 这是原文链接:sendingformdata许多情况下,我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单,但是 ... [详细]
  • Linux服务器密码过期策略、登录次数限制、私钥登录等配置方法
    本文介绍了在Linux服务器上进行密码过期策略、登录次数限制、私钥登录等配置的方法。通过修改配置文件中的参数,可以设置密码的有效期、最小间隔时间、最小长度,并在密码过期前进行提示。同时还介绍了如何进行公钥登录和修改默认账户用户名的操作。详细步骤和注意事项可参考本文内容。 ... [详细]
  • 本文介绍了在开发Android新闻App时,搭建本地服务器的步骤。通过使用XAMPP软件,可以一键式搭建起开发环境,包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表,并设置相应的属性。最后,给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]
  • Centos7.6安装Gitlab教程及注意事项
    本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]
  • 禁止程序接收鼠标事件的工具_VNC Viewer for Mac(远程桌面工具)免费版
    VNCViewerforMac是一款运行在Mac平台上的远程桌面工具,vncviewermac版可以帮助您使用Mac的键盘和鼠标来控制远程计算机,操作简 ... [详细]
  • 本文介绍了使用postman进行接口测试的方法,以测试用户管理模块为例。首先需要下载并安装postman,然后创建基本的请求并填写用户名密码进行登录测试。接下来可以进行用户查询和新增的测试。在新增时,可以进行异常测试,包括用户名超长和输入特殊字符的情况。通过测试发现后台没有对参数长度和特殊字符进行检查和过滤。 ... [详细]
  • 图解redis的持久化存储机制RDB和AOF的原理和优缺点
    本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ... [详细]
  • Java String与StringBuffer的区别及其应用场景
    本文主要介绍了Java中String和StringBuffer的区别,String是不可变的,而StringBuffer是可变的。StringBuffer在进行字符串处理时不生成新的对象,内存使用上要优于String类。因此,在需要频繁对字符串进行修改的情况下,使用StringBuffer更加适合。同时,文章还介绍了String和StringBuffer的应用场景。 ... [详细]
  • 如何在服务器主机上实现文件共享的方法和工具
    本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ... [详细]
  • 集成电路企业在进行跨隔离网数据交换时面临着安全性问题,传统的数据交换方式存在安全性堪忧、效率低下等问题。本文以《Ftrans跨网文件安全交换系统》为例,介绍了如何通过丰富的审批流程来满足企业的合规要求,保障数据交换的安全性。 ... [详细]
  • 如何提高PHP编程技能及推荐高级教程
    本文介绍了如何提高PHP编程技能的方法,推荐了一些高级教程。学习任何一种编程语言都需要长期的坚持和不懈的努力,本文提醒读者要有足够的耐心和时间投入。通过实践操作学习,可以更好地理解和掌握PHP语言的特异性,特别是单引号和双引号的用法。同时,本文也指出了只走马观花看整体而不深入学习的学习方式无法真正掌握这门语言,建议读者要从整体来考虑局部,培养大局观。最后,本文提醒读者完成一个像模像样的网站需要付出更多的努力和实践。 ... [详细]
  • 恶意软件分析的最佳编程语言及其应用
    本文介绍了学习恶意软件分析和逆向工程领域时最适合的编程语言,并重点讨论了Python的优点。Python是一种解释型、多用途的语言,具有可读性高、可快速开发、易于学习的特点。作者分享了在本地恶意软件分析中使用Python的经验,包括快速复制恶意软件组件以更好地理解其工作。此外,作者还提到了Python的跨平台优势,使得在不同操作系统上运行代码变得更加方便。 ... [详细]
  • 2021最新总结网易/腾讯/CVTE/字节面经分享(附答案解析)
    本文分享作者在2021年面试网易、腾讯、CVTE和字节等大型互联网企业的经历和问题,包括稳定性设计、数据库优化、分布式锁的设计等内容。同时提供了大厂最新面试真题笔记,并附带答案解析。 ... [详细]
  • 本文探讨了容器技术在安全方面面临的挑战,并提出了相应的解决方案。多租户保护、用户访问控制、中毒的镜像、验证和加密、容器守护以及容器监控都是容器技术中需要关注的安全问题。通过在虚拟机中运行容器、限制特权升级、使用受信任的镜像库、进行验证和加密、限制容器守护进程的访问以及监控容器栈,可以提高容器技术的安全性。未来,随着容器技术的发展,还需解决诸如硬件支持、软件定义基础设施集成等挑战。 ... [详细]
author-avatar
guan
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有