據(jù)外媒報(bào)道，周三（5月31日）密碼和身份訪問管理公司 Onelogin 承認(rèn)，公司遭遇了數(shù)據(jù)泄露，并且數(shù)據(jù)量不小。

數(shù)據(jù)泄露似乎不少見，但這家公司數(shù)據(jù)泄露，事情卻不簡(jiǎn)單，因?yàn)樗麄兊臉I(yè)務(wù)非常特殊。

密碼和身份訪問管理服務(wù)是什么？雷鋒網(wǎng)先簡(jiǎn)單解釋一下：

我們工作生活中有各種各樣的賬號(hào)密碼，記不住，且容易輸錯(cuò)。這時(shí)密碼管理工具出現(xiàn)了，它可以幫你把所有賬號(hào)密碼記在軟件里，有點(diǎn)像是把所有賬號(hào)密碼寫在一個(gè)小本子上。

但是密碼管理和小本子不完全一樣，它還可以通過技術(shù)手段實(shí)現(xiàn)“單點(diǎn)登錄”、“自動(dòng)填充賬號(hào)密碼”等功能，讓人們?cè)谏先魏尉W(wǎng)站時(shí)都只需要同一個(gè)密碼，甚至只需輕輕一點(diǎn)就能登錄所有網(wǎng)站，方便至極。

于是有人指出問題了：把所有密碼放在一起，不就等于把雞蛋放在一個(gè)籃子里么？

呃……理論上確實(shí)如此，不過這些密碼管理服務(wù)通常會(huì)做很多安全工作，比如把數(shù)據(jù)加密。但是也只能將風(fēng)險(xiǎn)降至很低，無法徹底杜絕數(shù)據(jù)泄露。這不,Onelogin 就出事了。

出了什么事？

市面上的身份管理軟件大致可分成兩類：本地存儲(chǔ)和云端存儲(chǔ)。

本地存儲(chǔ)，就是只提供密碼管理工具，不提供密碼管理服務(wù)。可以理解為只提供籃子給用戶裝雞蛋，至于用戶把籃子放家里，還是放在大街上，一概不管；

云端存儲(chǔ)，就是提供密碼管理工具同時(shí)提供密碼管理服務(wù)，不僅提供籃子給用戶，還會(huì)把所有的籃子都放在他們自家的安全倉(cāng)庫(kù)（數(shù)據(jù)中心服務(wù)器）里統(tǒng)一看管。

Onelogin 就是后面這種，他們會(huì)把用戶的所有賬號(hào)密碼和身份信息都統(tǒng)一存儲(chǔ)在數(shù)據(jù)中心。但是他們沒有看管好自家倉(cāng)庫(kù)，結(jié)果有黑客溜進(jìn)了他們存儲(chǔ)美國(guó)區(qū)域數(shù)據(jù)的“倉(cāng)庫(kù)”，偷走了里面所有裝滿雞蛋的籃子。

雷鋒網(wǎng)了解到，Onelogin 公司在其發(fā)布的公告里表示：

美國(guó)的數(shù)據(jù)存儲(chǔ)區(qū)域檢測(cè)到了未經(jīng)授權(quán)的訪問數(shù)據(jù)。

簡(jiǎn)而言之就是發(fā)現(xiàn)有人成功入侵過。

雖然公告中沒有說清楚到底有什么數(shù)據(jù)被黑客竊取，不過在他們發(fā)送給客戶的支持頁(yè)面中卻清清白白地寫明，所有存儲(chǔ)在美國(guó)數(shù)據(jù)中心的客戶數(shù)據(jù)都已經(jīng)失竊。

在他們發(fā)送給用戶的郵件中寫道：

用戶數(shù)據(jù)遭到了盜用，包括解密加密數(shù)據(jù)的能力。

也就是說，黑客不僅偷走了被加密的數(shù)據(jù)，還可能盜走了解密用的密鑰，所有的加密措施完全失效。

據(jù)雷鋒網(wǎng)了解，Onelogin 的主要業(yè)務(wù)是為企業(yè)提供賬號(hào)安全服務(wù)，數(shù)據(jù)庫(kù)一旦失竊，意味著他們的企業(yè)用戶的所有賬號(hào)密碼都面臨威脅。相信在看到數(shù)據(jù)泄露公告時(shí)，他們的企業(yè)客戶都忍不住跳起來說臟話。

目前，Onelogin 公司已經(jīng)聯(lián)系相關(guān)安全公司和執(zhí)法部門在緊急處理此事并探討和驗(yàn)證事件的影響程度。同時(shí)發(fā)出通告，告知所有客戶重置所有密碼。

賬號(hào)管理的矛盾

其實(shí)賬號(hào)身份統(tǒng)一管理的安全爭(zhēng)議和質(zhì)疑一直都在。

每個(gè)網(wǎng)站都有各自獨(dú)立的賬號(hào)密碼體系，而且要求使用復(fù)雜密碼，這對(duì)用戶簡(jiǎn)直是種折磨；

▲ 多少人面對(duì)密碼框抓狂過？

可是賬號(hào)統(tǒng)一之后，一旦該賬號(hào)被盜，所有全軍覆沒；把所有密碼統(tǒng)一放在密碼管理器里，一旦被盜，也是全軍覆沒。

而且，即使不用密碼管理軟件，同樣會(huì)出現(xiàn)問題。2016年移動(dòng)安全報(bào)告顯示，有七成以上用戶在幾乎所有網(wǎng)絡(luò)賬號(hào)都使用同一用戶名與密碼。這又何嘗不是另一種形式的“雞蛋放在一個(gè)籃子里”呢？而這也是“撞庫(kù)”事件頻發(fā)的主要原因。如果無論如何雞蛋都在同一個(gè)籃子里，唯一的辦法就是把籃子做得更安全難以攻破。

雖然這次發(fā)生數(shù)據(jù)泄露的是一家美國(guó)公司，且并沒有在中國(guó)大量開展業(yè)務(wù)，但相信此次事件依然給國(guó)內(nèi)做類似業(yè)務(wù)的公司敲了一個(gè)警鐘。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。