Car-tech

Evernote-Hack zeigt, dass Passwörter nicht gut genug sind

Growth Hacking Strategies | Tips to Get More Traffic, Customers and Traction

Growth Hacking Strategies | Tips to Get More Traffic, Customers and Traction

Inhaltsverzeichnis:

Anonim

Evernote hat am Wochenende aufgedeckt, dass es Opfer einer Datenpanne war, Nutzer per E-Mail benachrichtigt und auf ihrer Website einen Hinweis veröffentlicht hat, dass Angreifer Zugang zu Nutzernamen, E-Mail-Adressen und verschlüsselten Passwörtern erhalten haben mit Evernote-Konten. Als Vorsichtsmaßnahme hat Evernote alle 50 Millionen Benutzer gezwungen, ihre Passwörter zurückzusetzen. Das ist ein guter Schritt, aber es ist nicht wirklich gut genug - also beschleunigt Evernote seinen Plan, die Zwei-Faktor-Authentifizierung einzuführen.

Evernote-Benutzer wurden aus ihren Konten gesperrt, bis sie ihre Passwörter geändert haben.

Evernote warn ' t ursprünglich als Business-Service konzipiert, zumindest bis zur Veröffentlichung von Evernote for Business im Dezember. Evernote ist in erster Linie ein Notizen- und Organisationstool, das Microsoft OneNote ähnelt. Evernote bietet eine Reihe von Services - einschließlich Evernote Food, Evernote Peek, Skitch, Penultimate und mehr - als webbasierte Tools oder Apps für eine Vielzahl von Betriebssystemen und mobilen Plattformen. Seine Fähigkeit, auf eine breite Palette von Geräten zuzugreifen und sie zu synchronisieren, macht es als Geschäftswerkzeug attraktiv.

Evernote ist von Natur aus ein hervorragendes Beispiel für einen Dienst, bei dem Sie sowohl persönliche als auch professionelle Daten speichern. Wie bei jedem Cloud-basierten Dienst kommt es mit einem gewissen Risiko einher. Jedes Mal, wenn Sie Geschäftsdaten in der Cloud speichern - insbesondere vertrauliche Informationen wie Kundennamen oder -adressen, Bank- oder Finanzdaten oder unternehmenseigene Recherchen -, vertrauen Sie dem Anbieter, um ihn zu schützen. Der große Vorbehalt ist jedoch, dass Sie letztendlich dafür verantwortlich sind, was mit Ihren Daten passiert.

[Lesen Sie weiter: Die besten TV-Streaming-Dienste]

Ein Passwort, um alle zu regulieren?

Nach dem Angriff Evernote hat ein Softwareupdate gepusht.

Evernote behauptet, dass die von den Angreifern erfassten Passwortdaten verschlüsselt waren, aber es hat trotzdem alle Benutzer veranlasst, neue Passwörter zu wählen, nur für den Fall. Wie die angesehene Sicherheitsbehörde Brian Krebs in seinem Blogbeitrag zum Evernote-Verstoß feststellt, bieten die standardmäßigen Hashing- und Salting-Algorithmen zur Verschlüsselung von Passwortdaten trivialen Schutz, der relativ einfach geknackt werden kann.

Eine Lösung wäre stärker zu verwenden Passwörter oder Passphrasen und um sicherzustellen, dass Sie nicht dasselbe Passwort für mehr als einen Dienst verwenden. Wenn Sie dies tun, kann eine Datenpanne bei einem Anbieter Ihr Passwort offen legen, das dem Angreifer dann den Zugriff auf alle Ihre Konten ermöglichen könnte, anstatt den Schaden auf den Account zu begrenzen.

Natürlich können Sie sich an Zehner oder Hunderte erinnern Passwörter sind eine herkulische Aufgabe, besonders wenn Sie starke, komplexe Passwörter verwenden. Mein PCWorld-Partner John Mello schlägt einige Optionen zur Vereinfachung der Passwortverwaltung vor, wie OneID, KeePass und RoboForm.

Die wahre Lektion des Evernote-Hacks ist jedoch, dass Kennwörter keinen sehr guten Schutz für Ihre Daten bieten. Eindeutige Kennwörter, die komplex sind, bieten einen besseren Schutz als der Name Ihres Hundes oder überhaupt kein Passwort, aber letztendlich können alle Kennwörter geknackt oder erraten werden, vorausgesetzt, es wird genügend Zeit und Mühe gegeben.

Wechsel zur Multi-Faktor-Authentifizierung

Damit Denken Sie daran, dass Evernote über die Zwei-Faktor-Authentifizierung zu Facebook, Dropbox, Microsoft SkyDrive, PayPal, Gmail und einer wachsenden Liste von Online-Dienstanbietern kommt.

Ein Beispiel für Zwei-Faktor-Authentifizierung bei der Arbeit

Multi-Faktor-Authentifizierung bietet eine zusätzliche Schutzebene zum Schutz Ihrer Daten. Die telefonbasierte Authentifizierung kann beispielsweise die Sicherheit drastisch erhöhen. Sie haben wahrscheinlich eine Aufforderung zur telefonischen Authentifizierung erhalten, wenn Sie versuchen, sich von einem Gerät aus, das Sie normalerweise nicht verwenden, an der Website einer Bank anzumelden.

Bei der telefonbasierten Authentifizierung wird ein zufälliger oder einmaliger Code gesendet an ein Mobiltelefon und muss zusätzlich zum Standardbenutzernamen und -kennwort eingegeben werden. Einige Lösungen verwenden eine mobile App, um eine einmalige PIN zu generieren. Damit ein Angreifer auf den Account zugreifen kann, muss er entweder sein Passwort knacken und im Besitz eines Mobiltelefons sein.

Abgesehen von der telefonbasierten Authentifizierung gibt es viele andere Optionen, z. B. Zugriffstoken, Smartcards und E-Mail-Verifizierung. Die genaue Methode ist sehr unterschiedlich. Unabhängig von der Implementierung bietet die Zwei-Faktor-Authentifizierung eine zusätzliche Schutzebene, und Evernote sollte empfohlen werden, es anzubieten.