Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/my-password-manager-was-hacked-how-to-prevent-a-catastrophe/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #meu #gerenciador #de #senhas #foi #hackeado! #como #prevenir #uma #catástrofe
A violação de segurança do LastPass no final de 2022 causou uma onda de choque na comunidade de segurança. Os gerenciadores de senhas são normalmente vistos como as plataformas mais seguras e confiáveis porque precisam ser. Segurando credenciais para vários serviços, uma violação em qualquer cofre do cliente pode ter consequências catastróficas.
Nenhum serviço é perfeito, e isso vale para gerenciadores de senhas, então o que você pode fazer para se proteger ainda mais?
Desde a escolha de senhas de serviço fortes, proteção diligente de chaves secretas e garantia do uso de autenticação multifator, há etapas que sua organização pode seguir para minimizar as vulnerabilidades.
O que aconteceu durante a violação do LastPass?
Em dezembro de 2022, os agentes de ameaças roubaram os dados de backup do LastPass. A violação incluiu dados de código-fonte e cofres de clientes contendo metadados não criptografados, como URLs, e dados criptografados, como senhas. Essa violação afeta pelo menos 30 milhões de usuários e 85.000 empresas, de acordo com dados de um comunicado de imprensa sobre o uso do LastPass.
Essa violação ocorreu quando um agente de ameaça acessou um ambiente de armazenamento baseado em nuvem contendo código-fonte e dados técnicos. Os agentes de ameaças aproveitaram os dados roubados contra outro funcionário do LastPass que os agentes de ameaças usaram para obter mais acesso a volumes de armazenamento e descriptografar dados.
Em última análise, isso levou os agentes de ameaças a roubar uma grande quantidade de dados, incluindo cofres de clientes criptografados.
O que sua organização pode fazer?
Confiar seus dados confidenciais a um serviço de nuvem já requer uma pesquisa significativa para encontrar o ajuste certo para sua organização. Uma solução local também não é inerentemente mais segura.
É muito possível que administradores de TI sobrecarregados acidentalmente configurem incorretamente uma solução, percam credenciais para um agente de ameaça ou se esqueçam de atualizar uma solução local.
Uma vantagem que os serviços em nuvem têm são as equipes dedicadas a todos os desafios acima.
Muitos departamentos de TI precisam de mais recursos para atribuir grupos semelhantes a uma solução de gerenciamento de senhas local. Presumindo que sua organização de TI usará um serviço baseado em nuvem, como você pode proteger melhor seus dados?
Garantindo o uso de arquiteturas de gerenciamento de senhas de conhecimento zero
Ao escolher uma solução de gerenciamento de senha baseada em nuvem, o serviço não deve ter como descriptografar seus dados. Normalmente feito por meio de uma chave de criptografia que o cliente possui e que o serviço online não possui, essa "chave secreta" garante que, mesmo que os dados sejam perdidos, eles não serão recuperáveis por um agente de ameaça.
Essa criptografia é tão boa quanto a chave secreta usada para criptografar os dados, quão bem eles são protegidos e o nível de criptografia usado no lado do provedor de nuvem.
O que você pode fazer, como cliente, é criar uma senha gerada aleatoriamente suficientemente complexa que não seja descriptografável em nenhum prazo razoável.
Proteger a chave secreta é crucial para garantir que nenhum agente de ameaça possa descriptografar os dados da sua organização em caso de violação.
Protegendo contas administrativas
Naturalmente, qualquer serviço exigirá acesso administrativo para configurar o serviço online. A conta de administrador geralmente tem acesso a todos os dados armazenados.
Proteger esta conta contra phishing ou tentativas de senha de força bruta por meio de uma política de senha forte impedirá que um agente de ameaça acesse os cofres de senha de sua empresa.
Uma conta administrativa não deve incluir o uso de um nome de usuário padrão ou senhas violadas. O NIST recomenda verificar as senhas em uma lista de senhas violadas.
Aplicação da autenticação multifator
Emparelhado com uma senha forte, aplicar a autenticação multifator adequada ajudará muito a derrotar qualquer tentativa de acessar os dados confidenciais de sua organização. Uma boa configuração de MFA deve incluir o uso de métodos robustos como uma chave de hardware ou um método biométrico como uma impressão digital.
Freqüentemente, o MFA é visto como um complemento, mas uma organização preocupada com a segurança impõe políticas de MFA para todos. Mesmo com uma senha roubada, o MFA geralmente interrompe um agente de ameaça, pois o tempo e o esforço para comprometer o MFA não compensam os ganhos.
Protegendo o acesso a recursos com políticas de senha forte
Subjacente à proteção dos dados confidenciais de sua empresa está uma política de senha robusta. Uma política de senha forte é crucial para a chave de descriptografia online, as contas administrativas e quaisquer contas de dispositivos que acessam os recursos online.
Ao garantir que sua organização tenha uma política de senha apropriada que não reutilize senhas violadas, sua empresa se sairá bem se ocorrer uma violação.
Proteja os recursos com a política de senha Specops
Construindo a base de uma política de senha forte, a Specops Password Policy os recursos para manter sua organização segura e em conformidade.
Por meio de regras detalhadas de complexidade de senha e do complemento de proteção de senha violada, sua organização pode garantir que seus usuários cumpram as práticas recomendadas para senhas.
Indo além das regras de senha, a Specops Password Policy se integra ao seu domínio do Active Directory para fornecer segmentação granular de dispositivos. Além disso, sua organização pode mostrar se uma senha alterada atende aos requisitos de complexidade diretamente na área de trabalho do usuário.
Política de Senha Specops
Mitigar os perigos de um gerenciador de senhas hackeado
No final, um gerenciador de senhas violado nunca é bom, mas não precisa ser catastrófico. Usando práticas de segurança de conta de bom senso, políticas de senha forte e autenticação multifatorial aplicada, você pode ajudar a proteger sua organização de ser vítima.
É sempre melhor presumir que qualquer serviço pode ser violado a qualquer momento. Implemente a segurança adequada em caso de violação e minimize o risco para a sua empresa e para os dados dos seus clientes.
Patrocinado e escrito por Specops Software
Postar um comentário