Billede: Jim Lave Mad
Selv om lagring af adgangskoder i almindelig tekst overalt på nettet er grundlæggende det modsatte af sikkerhed, rutinemæssige brud på nogle af verdens største virksomheder, der ikke har afskrækket nogle brugere fra at deltage i dette naturligvis frygtelig praksis.
Sag i punkt: Som Vocativ rapporterede torsdag, selskabet bag Trello, den populære arbejdspladsen app, blev tvunget til at gennemføre privatlivsbeskyttelse på nogle brugeres vegne, på grund af deres egen totale mangel på respekt for grundlæggende sikkerhed kontrol.
For det første, Trello er en praktisk web-baseret app, som bedst kan beskrives som et værktøj til organisation og samarbejde. Det er en praktisk måde at administrere store projekter ved at oprette lister, deling af dokumenter og tildeling af opgaver. Et newsroom, for eksempel, kan du bruge en Trello “bord” til at holde styr på, hvad journalister arbejder på; redaktører kan anvende det til at tildele artikler og forfattere kan bruge det til at indgive dem. Og, selvfølgelig, disse plader kan være beskyttet med en adgangskode. Hvis du ikke kan synes at få organiseret og ophold på opgave, at give det en hvirvel.
Trello er helt en forfærdelig måde, men for at gemme og dele adgangskoder, hvilket er, hvad en masse mennesker har tilsyneladende været at bruge det til. Skam!
Ifølge Vocativ, dette udgør et alvorligt problem: En Google-søgning efter “adgangskoder” er begrænset til Trello ‘ s hjemmeside viste legitimationsoplysninger, der er gemt af en lille del af Trello brugerbase. Hvad mere er, nogle af bestyrelser afsløre adgangskoder blev ikke sat til eget—selv om det er standard indstilling. Mere skam!
Trello forsøgt at hjælpe disse naive, hvis det ikke har handlet uagtsomt, brugere ved at password beskytte deres bestyrelser for dem. “Trello for nylig peget på disse bestyrelser, og har taget skridt til at ændre deres plader til private,” siger virksomheden. Men dette har ikke umiddelbart løse problemet. En Google-søgning vil stadig vise gemte brugernavne og adgangskoder i de korte beskrivelser, der udbydes under hvert resultat. (Advarsel: du Logge ind i et system, du er ikke autoriseret til at få adgang kan resultere i, at din anholdelse.)
“Trello tager brugernes privatliv meget alvorligt, og alle Trello bestyrelser er som standard private,” en Trello talsmand fortalte Gizmodo. “I nogle få tilfælde, nogle brugere har ændret privatlivsindstillinger på deres bestyrelser for offentlige og dermed gjort oplysninger om disse bestyrelser offentligt tilgængelig til at søge. Trello for nylig peget på disse bestyrelser, og har taget skridt til at ændre deres plader til private og uncache deres data fra Google.”
Det er ikke umiddelbart klart, hvor hurtigt dette problem vil blive løst, men flere selskaber nåede ved Vocativ havde formået at løse problemet, inden rapporten gik i luften. Hvis du er en af de mennesker, der bruger Trello til at gemme lister over adgangskoder, stop det og gå, skal du ændre dine adgangskoder.
Hvis du leder efter en bedre måde at dele adgangskoder blandt dine medarbejdere svaret er godt, ikke. Der er flere gode Sikre Identity Management-programmer online, der tilbyder en single sign-on (SSO) option i stedet. Kort sagt, kan du give hver af dine medarbejdere en enkelt, entydig adgangskode, der giver dem adgang til en lang række applikationer. Dette i modsætning til overdragelse af dem snesevis af master legitimationsoplysninger til alt, hvad din virksomhed eller organisation har kært.
For en god SSO-program, give Okta en prøve. Jeg vil råde dig, men for at undgå OneLogin lige nu, som tjenesten er—igen—at have problemer med sin egen indre sikkerhed.
[Vocativ]