據(jù)外媒報道，周三（5月31日）密碼和身份訪問管理公司 Onelogin 承認(rèn)，公司遭遇了數(shù)據(jù)泄露，并且數(shù)據(jù)量不小。

數(shù)據(jù)泄露似乎不少見，但這家公司數(shù)據(jù)泄露，事情卻不簡單，因為他們的業(yè)務(wù)非常特殊。

密碼和身份訪問管理服務(wù)是什么？雷鋒網(wǎng)先簡單解釋一下：

我們工作生活中有各種各樣的賬號密碼，記不住，且容易輸錯。這時密碼管理工具出現(xiàn)了，它可以幫你把所有賬號密碼記在軟件里，有點像是把所有賬號密碼寫在一個小本子上。

但是密碼管理和小本子不完全一樣，它還可以通過技術(shù)手段實現(xiàn)“單點登錄”、“自動填充賬號密碼”等功能，讓人們在上任何網(wǎng)站時都只需要同一個密碼，甚至只需輕輕一點就能登錄所有網(wǎng)站，方便至極。

于是有人指出問題了：把所有密碼放在一起，不就等于把雞蛋放在一個籃子里么？

呃……理論上確實如此，不過這些密碼管理服務(wù)通常會做很多安全工作，比如把數(shù)據(jù)加密。但是也只能將風(fēng)險降至很低，無法徹底杜絕數(shù)據(jù)泄露。這不,Onelogin 就出事了。

出了什么事？

市面上的身份管理軟件大致可分成兩類：本地存儲和云端存儲。

本地存儲，就是只提供密碼管理工具，不提供密碼管理服務(wù)?？梢岳斫鉃橹惶峁┗@子給用戶裝雞蛋，至于用戶把籃子放家里，還是放在大街上，一概不管；

云端存儲，就是提供密碼管理工具同時提供密碼管理服務(wù)，不僅提供籃子給用戶，還會把所有的籃子都放在他們自家的安全倉庫（數(shù)據(jù)中心服務(wù)器）里統(tǒng)一看管。

Onelogin 就是后面這種，他們會把用戶的所有賬號密碼和身份信息都統(tǒng)一存儲在數(shù)據(jù)中心。但是他們沒有看管好自家倉庫，結(jié)果有黑客溜進(jìn)了他們存儲美國區(qū)域數(shù)據(jù)的“倉庫”，偷走了里面所有裝滿雞蛋的籃子。

雷鋒網(wǎng)了解到，Onelogin 公司在其發(fā)布的公告里表示：

美國的數(shù)據(jù)存儲區(qū)域檢測到了未經(jīng)授權(quán)的訪問數(shù)據(jù)。

簡而言之就是發(fā)現(xiàn)有人成功入侵過。

雖然公告中沒有說清楚到底有什么數(shù)據(jù)被黑客竊取，不過在他們發(fā)送給客戶的支持頁面中卻清清白白地寫明，所有存儲在美國數(shù)據(jù)中心的客戶數(shù)據(jù)都已經(jīng)失竊。

在他們發(fā)送給用戶的郵件中寫道：

用戶數(shù)據(jù)遭到了盜用，包括解密加密數(shù)據(jù)的能力。

也就是說，黑客不僅偷走了被加密的數(shù)據(jù)，還可能盜走了解密用的密鑰，所有的加密措施完全失效。

據(jù)雷鋒網(wǎng)了解，Onelogin 的主要業(yè)務(wù)是為企業(yè)提供賬號安全服務(wù)，數(shù)據(jù)庫一旦失竊，意味著他們的企業(yè)用戶的所有賬號密碼都面臨威脅。相信在看到數(shù)據(jù)泄露公告時，他們的企業(yè)客戶都忍不住跳起來說臟話。

目前，Onelogin 公司已經(jīng)聯(lián)系相關(guān)安全公司和執(zhí)法部門在緊急處理此事并探討和驗證事件的影響程度。同時發(fā)出通告，告知所有客戶重置所有密碼。

賬號管理的矛盾

其實賬號身份統(tǒng)一管理的安全爭議和質(zhì)疑一直都在。

每個網(wǎng)站都有各自獨立的賬號密碼體系，而且要求使用復(fù)雜密碼，這對用戶簡直是種折磨；

▲ 多少人面對密碼框抓狂過？

可是賬號統(tǒng)一之后，一旦該賬號被盜，所有全軍覆沒；把所有密碼統(tǒng)一放在密碼管理器里，一旦被盜，也是全軍覆沒。

而且，即使不用密碼管理軟件，同樣會出現(xiàn)問題。2016年移動安全報告顯示，有七成以上用戶在幾乎所有網(wǎng)絡(luò)賬號都使用同一用戶名與密碼。這又何嘗不是另一種形式的“雞蛋放在一個籃子里”呢？而這也是“撞庫”事件頻發(fā)的主要原因。如果無論如何雞蛋都在同一個籃子里，唯一的辦法就是把籃子做得更安全難以攻破。

雖然這次發(fā)生數(shù)據(jù)泄露的是一家美國公司，且并沒有在中國大量開展業(yè)務(wù)，但相信此次事件依然給國內(nèi)做類似業(yè)務(wù)的公司敲了一個警鐘。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。