Ars Technica - Twitter bo dobil izboljšane varnostne ukrepe za prijavo, ki naj bi zmanjšali možnost zlorab, so sporočili po petkovem razkritju napada. Da bi karseda zmanjšali škodo, ki jo lahko napadalci v podobnih situacijah povzročijo, bo prijava v Twitter odslej tudi dvostopenjska. Podoben sistem že imajo Gmail, Dropbox, Microsoft ...
Kmalu po odkritju vdora so se pojavila odprta delovna mesta pri Twitterju, kjer iščejo inženirje za razvoj in implementacijo dodatnih varnostnih ukrepov. Za prijavo prek aplikacij v mobilnih napravah ali drugih spletnih straneh Twitter ta hip uporablja OAuth, medtem ko se neposredna prijava vrši prek SSL. Ti ukrepi preprečujejo napade z neposrednim prestrezanjem, niso pa uporabni proti MITM-napadom.
Zato bo sedaj Twitter dobil dvostopenjsko preverjanje istovetnosti. To pomeni, da bo uporabnik pri prvi prijavi z neznane naprave na svoj mobilni telefon prejel še enkratni žeton, ki ga bo moral vpisati za prijavo. Šele ko bo napravo dodal na seznam zaupanja vrednih, se bo mogoče prijaviti samo s poznavanjem uporabniškega imena in gesla. Alternativa bo tudi izpis seznama enkratnih kod, na kar bo Twitter pri neznani prijavi zahteval vnos določene zaporedne kode s seznama (tak sistem imajo recimo nemške spletne banke, imenuje se TAN).
Na ta način se zloraba ukradenih gesel (poudarimo, da so v zadnjem napadu odtujili le šifrirana gesla, ki niso neposredna uporabna!) in uporabniških imen precej oteži, saj mora napadalec pridobiti dostop tudi mobilnega telefona žrtve.
Novice » Varnost » Twitter dobiva izboljšane varnostne ukrepe
Elysium ::
Dokler ne bodo omogocili uporabe usernamea, ki se ne bo nahajal tudu v samem naslovu, vse skupaj ne bo prevec varno za moje pojme, saj na tak nacin vsak pozna tvoj username in potem ugiba le se password. Za vecjo varnost bi bilo nujno razlikovati med nick name in user name za moje pojme.
Enako je tudi pri Gmailu, kjer je username kar email. Mnogo bolje je to reseno pri Hotmailu oz. Outlooku.com, kjer imas lahko za osnovni email nek email, ki ga ne bos nikdar uporabljal, za samo komunikacijo pa si zgeneriras aliase, s katerimi se ne da zlogirati. Tako nekdo, cetudi pozna tvoj email - alias - ki ga je ukradel na LinkedIn ali pa Dropboxu, ne more narediti prav nic, ceprav pozna tudi password, ki ga je prav tako nekje ukradel.
Enako je tudi pri Gmailu, kjer je username kar email. Mnogo bolje je to reseno pri Hotmailu oz. Outlooku.com, kjer imas lahko za osnovni email nek email, ki ga ne bos nikdar uporabljal, za samo komunikacijo pa si zgeneriras aliase, s katerimi se ne da zlogirati. Tako nekdo, cetudi pozna tvoj email - alias - ki ga je ukradel na LinkedIn ali pa Dropboxu, ne more narediti prav nic, ceprav pozna tudi password, ki ga je prav tako nekje ukradel.
hobbit ::
no, je pa skrajni čas da bodo dvostopenjsko avtentikacijo dodal še v Twitter... je kdo delal kdaj primerjavo med različnimi "varnimi" prijavnimi sistemi. Zadnje čase se s tem ukvarjam, ker mam diplomo na to temo. Marsi kaj zanimivega zveš, med drugim tudi to, da je Dropbox bolj poskrbel za varnost uporabnikovih datotek kot je Bank@net za uporabnikov bančni račun, vsaj kar se s strani izbranih protokolov za varen login tiče...vsaj pomoje.
Matija82 ::
Elysium, pri dvostopenjski avtentikaciji rabiš več kot geslo (oz. geslo+napravo).
So pa aliasi kar kul ideja in ne vem čemu ogib.
So pa aliasi kar kul ideja in ne vem čemu ogib.
RejZoR ::
Čudi me da vse storitve nimajo 2 stage avtentikacije. Sploh recimo storitve ala PayPal in slično.
Angry Sheep Blog @ www.rejzor.com
Mavrik ::
Dokler ne bodo omogocili uporabe usernamea, ki se ne bo nahajal tudu v samem naslovu, vse skupaj ne bo prevec varno za moje pojme, saj na tak nacin vsak pozna tvoj username in potem ugiba le se password. Za vecjo varnost bi bilo nujno razlikovati med nick name in user name za moje pojme.
To je security through obscurity. To da nekaj napol skrivaš (in ni mišljeno, da je popolnoma skrito kot geslo) ti ne prinese bistvenih varnostih prednosti. Še posebej ti ne doda nobenega plusa pri vdorih v bazo ponudnika ;)
The truth is rarely pure and never simple.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kako bi Microsoft ubil geslaOddelek: Novice / Varnost | 9862 (7229) | zmaugy |
» | SKB NET - spletno bančništvoOddelek: Omrežja in internet | 8571 (7721) | matter |
» | Google bi se znebil gesel. Kaj je alternativa?Oddelek: Novice / Omrežja / internet | 13598 (10951) | Jst |
» | Analiza slovenskih geselOddelek: Novice / Zasebnost | 12094 (10032) | BlueRunner |
» | Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )Oddelek: Novice / Varnost | 12062 (8553) | CaqKa |