https://opennet.me/openforum/vsluhforumID3/111402.html Сервис OneLogin, предоставляющий средства для организации единой точки входа, централизованного управления учётными записями и параметрами аутентификации для разных сайтов, сообщил (https://www.onelogin.com/blog/may-31-2017-security-incident), что на днях произошел инцидент, в результате которого возникла утечка информации о потребителях. Утечка затронула хранимые пароли, OAuth-токены, ключи к AWS (Amazon Web Services&#8206;), различные типы ключей доступа и другие привязанные к пользователю данные. Сведения о пользователях хранились в зашифрованном виде, но атакующие имели возможность их расшифровать. <br><br><br>Размер утечки и причины пока не сообщаются, известно лишь, что атакующие в течение семи часов имели доступ к инфраструктуре. Атака была выявлена по аномальному всплеску активности СУБД. Для проникновения в инфраструктуру злоумышленники использовали AWS API и ключи к AWS, попавшие в руки атакующих. Вcем пользователям OneLogin рекомендуется незамедлитулно обновить пароли и сгенерировать новые OAuth токен https://opennet.me/openforum/vsluhforumID3/111402.html#40 Tue, 06 Jun 2017 15:13:46 GMT &gt;&gt; Вcем пользователям OneLogin рекомендуется<br><br>не использовать онлайн-сервисы для хранения паролей.<br> https://opennet.me/openforum/vsluhforumID3/111402.html#39 Tue, 06 Jun 2017 08:20:45 GMT &gt; Вcем пользователям OneLogin рекомендуется незамедлительно обновить пароли и сгенерировать новые OAuth токены для всех сайтов, для входа на которые использовался OneLogin. <br><br>По-моему пользователи выбирали сервис чтобы этим не заниматься. Лол.<br> https://opennet.me/openforum/vsluhforumID3/111402.html#38 Mon, 05 Jun 2017 15:52:08 GMT но ведь хранят некоторые в одной мошонке все яйца...<br> https://opennet.me/openforum/vsluhforumID3/111402.html#37 Mon, 05 Jun 2017 12:07:27 GMT &gt; ...рабами.<br>&gt; Вам тоже нужны посредники в виде людей?<br><br>честно говоря - нет. Рабы вы косорукие, что ни дай, все onelogin выходит, посредники ненадежные, вечно забухать норовят и тем порушить коварный план, пользы от вашей цивилизации вообще никакой.<br><br><br> <br><br><br> https://opennet.me/openforum/vsluhforumID3/111402.html#36 Mon, 05 Jun 2017 12:02:09 GMT &gt; А рвут ли? За безопасностью паролей на сервисах всё же следят, и даже уведомляют вон. <br><br>когда уследят - то уведомляют (иногда). А вдруг не уследят? Не спалился б тот лох сверхнагрузкой на базу, в попытках разом унести все - глядишь, может и не заметили бы еще годик-два.<br><br>&gt; А если кто-то подсмотрит стикер или файл с паролями у Вас на диске?<br><br>ну то же самое - если я ентого фотохрафа сам поймаю, то в грызло дам и мобилу отожму, как содержащую секретные сведения. Если безопасник поймает - то мобило ему достанется, а мне он может скажет, а может как повезет, хрен их, безопасников, знает, у них идеи разные бывают. А если под видом уборщицы ночью прокрадется, заляпав камеры грязной тряпкой, без палева, то, в общем, та же канитель, что и с централизованным сервисом, который поломали, а никто не заметил.<br><br> https://opennet.me/openforum/vsluhforumID3/111402.html#35 Mon, 05 Jun 2017 07:13:30 GMT не более одного для каждого экземпляра человека<br> https://opennet.me/openforum/vsluhforumID3/111402.html#34 Sun, 04 Jun 2017 17:58:57 GMT &gt; Стикеры с паролями, приклеенные к монитору, просто рвут все эти сервисы по уровню безопасности.<br><br>А рвут ли? За безопасностью паролей на сервисах всё же следят, и даже уведомляют вон. А если кто-то подсмотрит стикер или файл с паролями у Вас на диске? Думаю, никогда не узнаете об этом. Впрочем, сам-то я тоже файл с паролем использую...<br> https://opennet.me/openforum/vsluhforumID3/111402.html#32 Sun, 04 Jun 2017 11:51:59 GMT &gt; СТАНДАРТНУЮ ЛУЧШУЮ бизнес-практику<br><br>для лавок из трех человек и двух компьютеров. Увы, это и есть то, что я имел в виду - фанаберии у тебя много, как и у большинства местных горе-экспертов, а хотя бы отдаленного представления о работе контор, где работает десяток тысяч человек - ни малейшего.<br><br>паролей, которые надо бы "сменить при первом входе" у меня вот на текущем рабочем месте около двух десятков. Удержать это все в голове - не смешите мои тапочки, мальчики с феноменальной памятью (к тому же некоторые из них не пароли, а сертификаты). Они еще и протухают регулярно и неотключаемо иногда.<br>Это еще хорошо, что тут глупой паранойей не болеют, а то на многих из предыдущих мест были еще и "пароли, которые никак нельзя поменять", которыми были закрыты какие-нибудь древние изолированные хреновины, и я даже не знаю, что хуже - когда пароль название железки, или когда нечто бессмысленное в лучших традициях mixed case, some digits, some non-alpha плюс серт - и таких, если лавка проработала не год и не два, внеза https://opennet.me/openforum/vsluhforumID3/111402.html#31 Sat, 03 Jun 2017 20:51:50 GMT проблема не в том, что всем юзерам пофиг на их пароли, а что большинство банально не шарят в достаточной степени, чтобы понять, что хранить пароли в вебе - не сесурно. Чем и пользуются маркетолухи. <br>С одной стороны - не мамонты, не вымрут. В том плане, что грех не воспользоваться людской глупостью. С другой же - все когда то с чего то начинали. Не факт, что нынешний пользователь сей корзины завтра не подучит матчасть и не пойдет в безопасники. И вот за таких людей обиднее всего.<br>