Взлом Canva как напоминание о важности безопасности паролей

Взлом Canva как напоминание о важности безопасности паролей
Еще один день – еще одно нарушение данных, совершенное хакером, известным как GnosticPlayers. В этот раз целью стал онлайн-сервис графического дизайна Canva: на нем были похищены учетные данные его 139 миллионов пользователей.
GnosticPlayers сообщил о взломе на сайте онлайн-технологий ZDNet, поделившись подборкой записей в качестве доказательства своих деяний. Украденные данные включали в себя имена пользователей Canva, их адреса электронной почты и данные о местоположении.

Украденная информация также содержала и пароли. Делая обращение в СМИ, Canva моментально успокоил пострадавших пользователей тем, что регистрационные данные были защищены и хэшированы с использованием bcrypt, одной из наиболее эффективных и безопасных техник, доступных в настоящий момент. Поэтому крайне маловероятно, что кто-нибудь сможет восстановить из украденных данных хотя бы один пароль.
Пароли – в безопасности, но …
Но не все новости так хороши. Canva также позволяет пользователям создавать аккаунты с помощью авторизации через Google. Эта простая в использовании технология позволяет вам авторизоваться на сторонних сайтах с использованием вашего логина пароля от Gmail. Google проверяет корректность ваших данных и выдает «цифровой токен» на ваш компьютер и требуемый веб-сайт (в данном случае – Canva).

Цифровой токен является доказательством того, что вы – именно тот, кем вы представляетесь. Каждый раз, когда вы подключаетесь к сайту, ваш токен сравнивается с токеном Canva – если они совпадают, вы автоматически входите под своим аккаунтом без необходимости вводить дополнительно пароль.

Проблема заключается в том, что если один из таких токенов украден, то хакер сможет выдать себя за вас. В этом случае он сможет входить в ваши аккаунты с поддержкой Google, потенциально получая доступ к любой конфиденциальной информации, которая в них хранится, с возможностью ее кражи.
Токены – отличная идея, пока они не украдены
Цифровые токены разработаны таким образом, чтобы быть простыми в использовании, но такая простота зачастую представляет собой проблему, с которой сталкиваются при использовании традиционных паролей. Повторное использование одинакового пароля на разных сайтах – это плохая идея: если один из аккаунтов будет скомпрометирован, то все остальные ваши аккаунты с этим же паролем будут подвержены колоссальному риску. Аналогично, если украден токен Google, то другие аккаунты также сильно рискуют.

Чтобы обеспечить максимальную защиту, вы всегда должны  для каждого сайта использовать свой уникальный пароль. Но это достаточно сложно, особенно когда у вас может быть более чем 100 онлайн-аккаунтов на различных сайтах. И несмотря на их простоту использования и немного более высокий уровень безопасности, цифровые токены также могут быть скомпрометированы.
Повышение уровня персональной защиты
Для обеспечения максимальной персональной защиты (и конфиденциальности), эксперты советуют не использовать цифровые токены для авторизаций. Вместо этого они предлагают использовать «ручные» подключения для каждого сайта и сервиса, которые вы используете.

Пароль менеджеров, наподобие того, что реализован в решениях Panda Dome Complete и Premium, может значительно упростить процесс авторизации. Менеджер паролей будет автоматически генерировать уникальный, сложный и трудно подбираемый пароль для каждого используемого вами сайта или сервиса – и он также будет автоматически запоминать для вас. Вам все лишь необходимо будет запомнить один мастер-пароль для подключения к менеджеру паролей и разблокировки необходимых данных.

Тем временем, пользователи Canva должны поменять свои пароли как можно быстрее. Любой, кто использовал свои аккаунты Google, также должен изменить пароль, чтобы избежать проблем со своими цифровыми токенами.

И не забудьте, что вы всегда можете скачать бесплатную триал-версию Panda Dome , чтобы протестировать функцию менеджера паролей.


Оригинал статьи: Canva hack is a reminder of the importance of password security

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
информационная безопасность хакер пароль
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.