Evernote hack nagpapakita na ang mga password ay hindi sapat na mabuti

Evernote nagsiwalat sa katapusan ng linggo na biktima ng isang paglabag sa data, pag-email sa mga gumagamit at pag-post ng isang abiso sa Web site nito na ang mga attackers ay nakakuha ng access sa mga username, email address, at naka-encrypt na mga password na nauugnay may mga account na Evernote. Bilang pag-iingat, pinilit ni Evernote ang lahat ng 50 milyong mga gumagamit na i-reset ang kanilang mga password. Iyon ay isang mahusay na hakbang, ngunit ito ay hindi talagang hindi sapat na mabuti-kaya Evernote ay accelerating ang kanyang plano upang ilunsad ang dalawang-factor na pagpapatotoo.

Evernote mga gumagamit ay naka-lock out sa kanilang mga account hanggang sila ay nagbago ng kanilang mga password. t orihinal na dinisenyo bilang isang serbisyo sa negosyo, hindi bababa sa hanggang sa Disyembre release ng Evernote para sa Negosyo. Ang Evernote ay pangunahing isang tala-pagkuha at pangsamahang kasangkapan katulad ng Microsoft's OneNote. Nagbibigay ang Evernote ng iba't-ibang mga serbisyo-kabilang ang Evernote Food, Evernote Peek, Skitch, Penultimate at higit pa-bilang mga tool sa Web o batay sa isang hanay ng mga operating system at mobile platform. Ang kakayahan nito upang ma-access at i-sync ang data sa isang malawak na hanay ng mga aparato ay nagiging kagila-gilalas bilang isang kasangkapan sa negosyo.

Sa pamamagitan ng likas na katangian nito, ang Evernote ay isang pangunahing halimbawa ng isang serbisyo kung saan mo itatabi ang parehong personal at propesyonal na data. Tulad ng anumang serbisyong nakabatay sa ulap, ito ay may ilang likas na panganib. Anumang oras na maglagay ka ng data ng negosyo sa cloud-partikular na sensitibong impormasyon tulad ng mga pangalan ng customer o address, pagbabangko o mga detalye ng pinansyal, o pananaliksik sa pagmamay-ari ng kumpanya-pinagkakatiwalaan mo ang vendor upang protektahan ito.

[Karagdagang pagbabasa: Ang pinakamahusay na serbisyo ng streaming sa TV]

Isang password upang mamuno sa lahat ng ito?

Kasunod ng pag-atake, Ang Evernote ay nagtulak ng isang pag-update ng software.

Sinasabi ng Evernote na ang data ng password na nakuha ng mga attackers ay naka-encrypt, ngunit ginawa pa rin nito ang lahat ng mga user na pumili ng mga bagong password, kung sakali. Bilang respetadong awtoridad sa seguridad na binanggit ni Brian Krebs sa kanyang blog post sa paglalabag sa Evernote, ang standard na hashing at mga salting algorithm na ginagamit ng mga vendor upang i-encrypt ang data ng password ay nag-aalok ng walang-bayad na proteksyon na maaaring basag na may kamag-anak na kadalian. mga password o mga passphrase, at upang matiyak na hindi mo ginagamit ang parehong password para sa higit sa isang serbisyo. Kapag ginawa mo, ang isang paglabag sa data sa isang vendor ay maaaring ilantad ang iyong password, na maaaring pagkatapos ay payagan ang magsasalakay na ma-access ang lahat ng iyong mga account sa halip na pumipigil sa pinsala sa isa na nilabag.

Siyempre, ang pag-alala ng sampu o daan-daang Ang mga password ay isang bit ng isang Herculean na gawain-lalo na kung gumagamit ka ng malakas, kumplikadong mga password. Ang aking PCWorld peer na si John Mello ay nagmumungkahi ng ilang mga pagpipilian para sa pagpapasimple ng pamamahala ng password, tulad ng OneID, KeePass, at RoboForm.

Ang totoong aral ng Evernote hack, bagaman, ay ang mga password na hindi nag-aalok ng napakahusay na proteksyon para sa iyong data. Ang mga natatanging password na kumplikadong nag-aalok ng mas mahusay na proteksyon kaysa sa paggamit ng pangalan ng iyong aso o walang password sa lahat, ngunit sa huli ang lahat ng mga password ay maaaring basag o guessed, na ibinigay ng sapat na oras at pagsisikap.

Paglipat sa multi-factor na pagpapatotoo

Gamit na sa isip, ang Evernote ay sumali sa Facebook, Dropbox, Microsoft SkyDrive, PayPal, Gmail, at isang lumalagong listahan ng mga online service provider sa pamamagitan ng pagpapatibay ng dalawang-factor na pagpapatotoo.

Isang halimbawa ng dalawang-factor na pagpapatotoo sa trabaho

Multi-factor authentication Nagbibigay ng dagdag na layer ng proteksyon upang pangalagaan ang iyong data. Halimbawa, dahil sa pagpapatunay ng telepono, maaaring mapalakas ng seguridad ang seguridad. Marahil ay nakaranas ka ng isang prompt para sa pagpapatunay na nakabatay sa telepono kapag sinusubukan mong mag-log on sa isang website ng isang bangko mula sa isang aparato na hindi mo karaniwang ginagamit.

Sa pamamagitan ng pagpapatunay na batay sa telepono, isang random o isang beses na code ay ipinapadala sa isang mobile phone, at dapat maipasok bilang karagdagan sa karaniwang username at password. Ang ilang mga solusyon ay gumagamit ng isang mobile app upang bumuo ng isang isang beses na PIN. Sa alinmang paraan, upang ma-access ng isang pag-atake ang account na dapat nilang i-crack ang iyong password at pagmamay-ari ng iyong mobile phone.

Mayroong maraming iba pang mga pagpipilian maliban sa authentication ng telepono, tulad ng mga token ng access, mga smartcard at pag-verify ng email. Ang eksaktong paraan ay magkakaiba-iba. Kahit na ang pagpapatupad, ang dalawang-factor na pagpapatunay ay nagbibigay ng dagdag na layer ng proteksyon, at ang Evernote ay dapat na pinuri dahil sa pag-aalay nito.