Twitter je videl tvoje geslo, zato ga raje spremeni
Matjaž Ropret 4. maja 2018 ob 09:52

Običajno o pobeglih geslih izvemo, ko ponudnik zgroženo ugotovi, da so mu krekerji vdrli v sistem, in potem razmišlja, kako hitro in na kakšen način naj to sporoči javnosti. Twitter pa je našel hrošča v svoji programski opremi, zaradi česar so se gesla interno zapisovala nešifrirano. Ker ne vemo, ali jih je prestregel še kdo, je najbolje geslo čim prej spremeniti.

Twitter za shranjevanje gesel uporablja šifrirni algoritem, ki ga je razvil Bruce Schneier. S funkcijo bcrypt namesto pravih znakov zapiše navidez naključen niz številk in črk, nekakšno matematično reprezentacijo. Tako naj prave kombinacije črk, številk in ostalih znakov nikoli nihče ne bi videl. Vendar pa so se zaradi hrošča gesla zapisovala šele preden se je ta postopek šifriranja zaključil. »Napako smo odkrili sami, zbrisali gesla in delamo na tem, da se napaka ne bi več ponovila,« so zapisali v Twitterju.

Nekaj podobnega se je le dva dni prej zgodilo tudi spletišču za deljenje programske kode GitHub, kjer so se nekatera gesla prav tako zapisovala v interne loge brez maskiranja, kadar je uporabnik dal zahtevo za razkritje pozabljene vstopne fraze. Tako en kot drugi upravljavec zagotavljata, da te baze ni videl nihče zunanji. In verjetnost, da bi jo kdo na kakršen koli način prestregel, je res zelo majhna. Vseeno pa sta ob vse svoje uporabnike pozvala, naj si izmislijo nekaj novega, s čimer bodo vstopali v storitev.

To lahko predstavlja težavo vsakomur, ki povsod uporablja enako geslo (odsvetujem!), ali ne uporablja kakšnega programa za njihovo (varno) pomnjenje. Moja še vedno najljubša tovrstna storitev je 1Password, dober je tudi Lastpass, to funkcionalnost zdaj ponuja marsikatere ponudnik protivirusnega programja, pred časom se je zabavi priključil še razvijalec priljubljene storitve varnega zasebnega omrežja (VPN) Tunnel Bear, sicer po novem v lasti korporacije McAfee. Storitev RememBear je zastonj za uporabo na eni napravi, brez sinhronizacije in varnostne kopije, sicer pa stane tri dolarje na mesec, ker je nekje tam, kot zaračunajo tudi ostali. So pa tudi odprtokodne alternative, denimo KeePass.

Za gesla pa še naprej svetujem uporabo fraz, pri katerih je osnova enaka, se pa en del spreminja. Denimo glede na storitev ali pa po kakšnem drugem ključu. Npr. ŽogaZaTvitanje, ŽogaZaKodo in podobno. Če je zraven še kakšna številka ali ločilo, morda še bolje, nekatere storitve jih tako ali tako zahtevajo. Vendar pa je predvsem pomembna dolžina gesla in že kombinacija malih in velikih črk precej oteži in podaljša ugibanje, tudi z izjemno zmogljivimi računalniki, ki lahko preverijo ogromno kombinacij na minuto.

Naroči se na redna vsakotedenska e-poštna obvestila o novih prispevkih na naši strani.


Avtor Matjaž Ropret
mm
Matjaž že več kot desetletje novinarsko pokriva tehnološki svet. Najprej na Radiu Slovenija, nato je na Delu od začetka leta 2009 do jeseni 2016 urejal redno tedensko prilogo Infoteh in pripadajočo rubriko na spletni strani. Zdaj je urednik Tehnozvezdja in hkrati glavni avtor na tej strani. Uporablja tiste naprave, ki se mu zdijo tehnološko dovolj napredne, uporabne in narejene z vsaj nekaj sloga, ne glede na znamko, operacijski sistem, platformo in ostale religiozne razloge.
Matjaž Ropret - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja