Twitter dobiva izboljšane varnostne ukrepe
Matej Huš
5. feb 2013 ob 23:50:53
Twitter bo dobil izboljšane varnostne ukrepe za prijavo, ki naj bi zmanjšali možnost zlorab, so sporočili po petkovem razkritju napada. Da bi karseda zmanjšali škodo, ki jo lahko napadalci v podobnih situacijah povzročijo, bo prijava v Twitter odslej tudi dvostopenjska. Podoben sistem že imajo Gmail, Dropbox, Microsoft ...
Kmalu po odkritju vdora so se pojavila odprta delovna mesta pri Twitterju, kjer iščejo inženirje za razvoj in implementacijo dodatnih varnostnih ukrepov. Za prijavo prek aplikacij v mobilnih napravah ali drugih spletnih straneh Twitter ta hip uporablja OAuth, medtem ko se neposredna prijava vrši prek SSL. Ti ukrepi preprečujejo napade z neposrednim prestrezanjem, niso pa uporabni proti MITM-napadom.
Zato bo sedaj Twitter dobil dvostopenjsko preverjanje istovetnosti. To pomeni, da bo uporabnik pri prvi prijavi z neznane naprave na svoj mobilni telefon prejel še enkratni žeton, ki ga bo moral vpisati za prijavo. Šele ko bo napravo dodal na seznam zaupanja vrednih, se bo mogoče prijaviti samo s poznavanjem uporabniškega imena in gesla. Alternativa bo tudi izpis seznama enkratnih kod, na kar bo Twitter pri neznani prijavi zahteval vnos določene zaporedne kode s seznama (tak sistem imajo recimo nemške spletne banke, imenuje se TAN).
Na ta način se zloraba ukradenih gesel (poudarimo, da so v zadnjem napadu odtujili le šifrirana gesla, ki niso neposredna uporabna!) in uporabniških imen precej oteži, saj mora napadalec pridobiti dostop tudi mobilnega telefona žrtve.