Car-tech

La scrittura di Evernote mostra che le password non sono abbastanza buone

Spotlight non funziona? Ecco come correggere gli errori con un trucco Mac

Spotlight non funziona? Ecco come correggere gli errori con un trucco Mac

Sommario:

Anonim

Evernote ha rivelato durante il fine settimana che è stata vittima di una violazione dei dati, inviando e-mail agli utenti e pubblicando un avviso sul proprio sito Web che gli aggressori hanno avuto accesso a nomi utente, indirizzi e-mail e password crittografate associate con account Evernote. Per precauzione, Evernote ha obbligato tutti i 50 milioni di utenti a reimpostare le proprie password. Questo è un buon passo, ma non è davvero non abbastanza buono, quindi Evernote sta accelerando il suo piano per implementare l'autenticazione a due fattori.

Gli utenti di Evernote sono stati bloccati dai loro account finché non hanno cambiato le loro password.

Evernote wasn ' originariamente progettato come servizio aziendale, almeno fino all'uscita di Evernote for Business di dicembre. Evernote è principalmente uno strumento per prendere appunti e organizzazione simile a OneNote di Microsoft. Evernote offre una gamma di servizi, tra cui Evernote Food, Evernote Peek, Skitch, Penultimate e altri, come strumenti o app basati sul Web su una vasta gamma di sistemi operativi e piattaforme mobili. La sua capacità di accedere e sincronizzare i dati su una vasta gamma di dispositivi lo rende interessante come strumento di business.

Per sua natura, Evernote è un ottimo esempio di servizio in cui vengono archiviati sia dati personali che professionali. Come ogni servizio basato su cloud, presenta alcuni rischi intrinseci. Ogni volta che posizioni dati aziendali nel cloud, in particolare informazioni sensibili come nomi di clienti o indirizzi, dati bancari o finanziari o ricerche di società proprietarie, ti stai fidando del venditore per proteggerlo. Il grande avvertimento, tuttavia, è che sei ancora in definitiva responsabile di ciò che accade ai tuoi dati.

[Ulteriori informazioni: I migliori servizi di streaming TV]

Una password per domarli tutti?

Dopo l'attacco, Evernote ha inviato un aggiornamento software.

Evernote afferma che i dati della password acquisiti dagli autori degli attacchi sono stati crittografati, ma ha comunque consentito a tutti gli utenti di selezionare nuove password, per ogni evenienza. Come autorevole autorità di sicurezza, Brian Krebs annota nel suo post sul braccetto Evernote, gli algoritmi standard di hashing e salatura utilizzati dai fornitori per crittografare i dati delle password offrono una protezione insignificante che può essere violata con relativa facilità.

Una soluzione sarebbe quella di usare più forte password o passphrase e per garantire che non si usi la stessa password per più di un servizio. Quando lo fai, una violazione dei dati in un venditore può esporre la tua password, che potrebbe quindi consentire all'utente malintenzionato di accedere a tutti i tuoi account invece di limitare il danno a quello che è stato violato.

Naturalmente, ricordando decine o centinaia di le password sono un po 'un compito erculeo, specialmente se si utilizzano password complesse e complesse. Il mio peer PCWorld John Mello suggerisce alcune opzioni per semplificare la gestione delle password, come OneID, KeePass e RoboForm.

La vera lezione dell'hacking di Evernote, però, è che le password non offrono una protezione molto buona per i tuoi dati. Le password univoche complesse offrono una protezione migliore rispetto all'uso del nome del tuo cane o nessuna password, ma alla fine tutte le password possono essere decifrate o indovinate, con un tempo e uno sforzo sufficienti.

Passaggio all'autenticazione a più fattori

Con quello in Mind, Evernote si unisce a Facebook, Dropbox, Microsoft SkyDrive, PayPal, Gmail e un elenco crescente di provider di servizi online adottando l'autenticazione a due fattori.

Un esempio di autenticazione a due fattori sul lavoro

Autenticazione a più fattori fornisce un ulteriore livello di protezione per salvaguardare i tuoi dati. L'autenticazione basata su telefono, ad esempio, può aumentare notevolmente la sicurezza. Probabilmente hai incontrato un prompt per l'autenticazione basata su telefono quando tenti di accedere al sito web di una banca da un dispositivo che normalmente non usi.

Con l'autenticazione basata su telefono, viene inviato un codice casuale o occasionale a un telefono cellulare e devono essere inseriti in aggiunta al nome utente e alla password standard. Alcune soluzioni utilizzano un'app mobile per generare un PIN occasionale. In ogni caso, per consentire a un utente malintenzionato di accedere all'account, entrambi dovrebbero craccare la password ed essere in possesso del proprio telefono cellulare.

Ci sono molte altre opzioni oltre all'autenticazione basata su telefono, come token di accesso, smartcard e verifica della posta elettronica. Il metodo esatto varia ampiamente. Indipendentemente dall'implementazione, l'autenticazione a due fattori fornisce un ulteriore livello di protezione e Evernote deve essere lodato per averlo offerto.