Car-tech

Peretasan Evernote menunjukkan bahwa kata sandi tidak cukup baik

20 PERETASAN TUBUH UNTUK MEMBUAT HIDUP ANDA LEBIH SEDERHANA

20 PERETASAN TUBUH UNTUK MEMBUAT HIDUP ANDA LEBIH SEDERHANA

Daftar Isi:

Anonim

Evernote mengungkapkan selama akhir pekan bahwa itu adalah korban dari pelanggaran data, mengirim email kepada pengguna dan memposting pemberitahuan di situs Web-nya bahwa penyerang telah mendapatkan akses ke nama pengguna, alamat email, dan kata sandi terenkripsi yang terkait dengan akun Evernote. Sebagai tindakan pencegahan, Evernote memaksa 50 juta pengguna untuk mereset kata sandi mereka. Itu langkah yang bagus, tapi itu tidak benar-benar tidak cukup-jadi Evernote mempercepat rencananya untuk menggulirkan otentikasi dua faktor.

Pengguna Evernote terkunci dari akun mereka sampai mereka mengubah kata sandi mereka.

Evernote tidak t awalnya dirancang sebagai layanan bisnis, setidaknya hingga rilis Evernote for Business bulan Desember. Evernote pada dasarnya adalah alat pencatat dan organisasi yang mirip dengan Microsoft OneNote. Evernote menyediakan berbagai layanan - termasuk Evernote Food, Evernote Peek, Skitch, Penultimate, dan lebih banyak lagi sebagai alat atau aplikasi berbasis Web di berbagai sistem operasi dan platform seluler. Kemampuannya untuk mengakses dan menyinkronkan data di berbagai perangkat menjadikannya menarik sebagai alat bisnis.

Berdasarkan sifatnya, Evernote adalah contoh utama layanan di mana Anda menyimpan data pribadi dan profesional. Seperti layanan berbasis cloud apa pun, ini dilengkapi dengan beberapa risiko inheren. Setiap kali Anda menempatkan data bisnis di awan-terutama informasi sensitif seperti nama atau alamat pelanggan, informasi perbankan atau keuangan, atau penelitian perusahaan milik Anda - Anda mempercayai vendor untuk melindunginya. Namun, peringatan besar adalah bahwa Anda masih bertanggung jawab atas apa yang terjadi pada data Anda.

[Bacaan lebih lanjut: Layanan streaming TV terbaik]

Satu kata sandi untuk mengatur semuanya?

Setelah serangan itu, Evernote mendorong pembaruan perangkat lunak.

Evernote mengklaim bahwa data kata sandi yang diambil oleh penyerang dienkripsi, tetapi itu masih membuat semua pengguna memilih kata sandi baru, berjaga-jaga. Sebagai otoritas keamanan yang dihormati Brian Krebs mencatat dalam posting blognya tentang pelanggaran Evernote, algoritma hashing dan salting standar yang digunakan oleh vendor untuk mengenkripsi data kata sandi menawarkan perlindungan sepele yang dapat dipecahkan dengan relatif mudah. ​​

Salah satu solusinya adalah menggunakan yang lebih kuat kata sandi atau kata sandi, dan untuk memastikan bahwa Anda tidak menggunakan kata sandi yang sama untuk lebih dari satu layanan. Ketika Anda melakukannya, pelanggaran data pada satu vendor dapat mengekspos kata sandi Anda, yang kemudian dapat memungkinkan penyerang untuk mengakses semua akun Anda, bukan membatasi kerusakan pada salah satu yang dilanggar.

Tentu saja, mengingat puluhan atau ratusan kata sandi adalah sedikit tugas Hercules - terutama jika Anda menggunakan kata sandi yang rumit dan rumit. Rekan PCWorld saya John Mello menyarankan beberapa opsi untuk menyederhanakan pengelolaan kata sandi, seperti OneID, KeePass, dan RoboForm.

Pelajaran nyata dari peretasan Evernote, adalah bahwa kata sandi tidak memberikan perlindungan yang sangat baik untuk data Anda. Kata sandi unik yang kompleks menawarkan perlindungan yang lebih baik daripada menggunakan nama anjing Anda atau tanpa kata sandi sama sekali, tetapi pada akhirnya semua kata sandi dapat dipecahkan atau ditebak, diberikan cukup waktu dan usaha.

Pindah ke otentikasi multi-faktor

Dengan itu di pikiran, Evernote bergabung dengan Facebook, Dropbox, Microsoft SkyDrive, PayPal, Gmail, dan daftar penyedia layanan online yang sedang berkembang dengan mengadopsi otentikasi dua faktor.

Contoh otentikasi dua faktor di tempat kerja Otentikasi multi-faktor memberikan lapisan perlindungan ekstra untuk melindungi data Anda. Otentikasi berbasis telepon, misalnya, dapat secara dramatis meningkatkan keamanan. Anda mungkin mengalami prompt untuk autentikasi berbasis ponsel ketika Anda mencoba masuk ke situs web bank dari perangkat yang biasanya tidak Anda gunakan.

Dengan autentikasi berbasis ponsel, kode acak atau satu kali dikirim ke ponsel, dan harus dimasukkan selain nama pengguna dan kata sandi standar. Beberapa solusi menggunakan aplikasi seluler untuk menghasilkan PIN satu kali. Either way, agar penyerang untuk mengakses akun mereka harus retak password Anda dan memiliki ponsel Anda.

Ada banyak pilihan lain selain otentikasi berbasis ponsel, seperti token akses, smartcard dan verifikasi email. Metode yang tepat sangat bervariasi. Tidak masalah pelaksanaannya, otentikasi dua faktor memberikan lapisan perlindungan ekstra, dan Evernote harus dipuji karena menawarkannya.