Evernote hack показывает, что пароли недостаточно хороши

Evernote в течение выходных обнаружила, что она стала жертвой нарушения данных, отправила по электронной почте пользователей и разместила на своем веб-сайте уведомление о том, что злоумышленники получили доступ к именам пользователей, адресам электронной почты и зашифрованным паролям с учетными записями Evernote. В качестве меры предосторожности Evernote заставил все 50 миллионов пользователей сбросить свои пароли. Это хороший шаг, но на самом деле это не очень хорошо, поэтому Evernote ускоряет свой план развертывания двухфакторной аутентификации.

Пользователи Evernote были заблокированы из своих учетных записей, пока они не изменили свои пароли.

Evernote wasn ' t, первоначально разработанный как бизнес-сервис, по крайней мере до декабрьского выпуска Evernote for Business. Evernote - это, прежде всего, нотный и организационный инструмент, похожий на Microsoft OneNote. Evernote предоставляет целый ряд услуг, включая Evernote Food, Evernote Peek, Skitch, Penultimate и многое другое - как веб-инструменты или приложения в различных операционных системах и мобильных платформах. Его способность доступа и синхронизации данных в широком диапазоне устройств делает его привлекательным как бизнес-инструмент.

По своей природе Evernote является ярким примером службы, в которой вы сохраняете как личные, так и профессиональные данные. Как и любой облачный сервис, он поставляется с определенным риском. Каждый раз, когда вы размещаете бизнес-данные в облачной информации, особенно конфиденциальной информации, такой как имена или адреса клиентов, банковские или финансовые данные или собственные исследования компании, вы доверяете продавцу защищать его. Однако большое предостережение состоит в том, что вы по-прежнему в конечном итоге несете ответственность за то, что происходит с вашими данными.

[Подробнее читайте: Лучшие телевизионные потоковые службы]

Один пароль для их всех?

После атаки, Evernote нажал обновление программного обеспечения.

Evernote утверждает, что данные пароля, захваченные злоумышленниками, были зашифрованы, но все равно все пользователи выбирали новые пароли, на всякий случай. Как уважаемый специалист по безопасности Брайан Кребс отмечает в своем блоге сообщение о бремени Evernote, стандартные алгоритмы хэширования и соления, используемые поставщиками для шифрования данных паролей, предлагают тривиальную защиту, которая может быть взломана с относительной легкостью.

Одним из решений было бы использовать более сильные паролей или кодовых фраз, а также для того, чтобы вы не использовали один и тот же пароль для нескольких служб. Когда вы это сделаете, нарушение данных у одного поставщика может выставить ваш пароль, который затем позволит злоумышленнику получить доступ ко всем вашим учетным записям, а не к ограничению ущерба тому, что было нарушено.

Конечно, помня десятки или сотни пароли - это задача Herculean, особенно если вы используете сильные сложные пароли. Мой коллега из PCWorld Джон Мелло предлагает несколько вариантов упрощения управления паролями, таких как OneID, KeePass и RoboForm.

Настоящий урок взлома Evernote заключается в том, что пароли не обеспечивают очень хорошую защиту ваших данных. Уникальные пароли, которые являются сложными, обеспечивают лучшую защиту, чем использование имени вашей собаки или вообще никакого пароля, но в конечном итоге все пароли могут быть взломаны или догадаться, учитывая достаточное количество времени и усилий.

Переход к многофакторной аутентификации

С этим в mind, Evernote присоединяется к Facebook, Dropbox, Microsoft SkyDrive, PayPal, Gmail и растущему списку поставщиков онлайн-услуг, приняв двухфакторную аутентификацию.

Пример двухфакторной аутентификации на работе

Многофакторная аутентификация обеспечивает дополнительный уровень защиты для защиты ваших данных. Например, аутентификация на основе телефона может значительно повысить безопасность. Вероятно, вы столкнулись с подсказкой для аутентификации на основе телефона при попытке войти на веб-сайт банка с устройства, которое обычно не используется.

При аутентификации на основе телефона отправляется случайный или одноразовый код на мобильный телефон, и его необходимо ввести в дополнение к стандартным имени пользователя и паролю. Некоторые решения используют мобильное приложение для генерации одноразового PIN-кода. В любом случае, чтобы злоумышленник мог получить доступ к учетной записи, они должны были взломать ваш пароль и иметь ваш мобильный телефон.

Существует множество других опций, помимо аутентификации на основе телефона, таких как токены доступа, смарт-карты и проверка электронной почты. Точный метод широко варьируется. Вне зависимости от реализации двухфакторная аутентификация обеспечивает дополнительный уровень защиты, и Evernote следует поблагодарить за ее предложение.