Zmień hasło do Twittera. Serwis przyznał się do kuriozalnego błędu w zabezpieczeniach
Po aferze z kradzieżą haseł w 2016 r. Twitter stara się dmuchać na zimne, dlatego dziś wita użytkowników prośba o zmianę hasła.
W 2016 r. wyciekło do sieci 33 mln haseł do Twittera. Doszło wówczas do interesującej sytuacji. Serwis z jednej strony zaprzeczył, że doszło do wycieku, a z drugiej potwierdził, że hasające w Internecie dane uwierzytelniające logowanie są prawdziwe. Jak to możliwe? Zebrane hasła miały zostać wykradzione użytkownikom.
Dziś ma miejsce nieco inna sytuacja. Użytkownicy po zalogowaniu na stronie lub w aplikacji mogą przeczytać informację, że firma znalazła błąd polegający na tym, że niektóre hasła użytkowników przechowywane były bez maskowania. „Jako środek ostrożności rozważ zmianę hasła" - czytamy w komunikacie wyświetlającym się użytkownikom.
Na swoim blogu Twitter tłumaczy, że podczas ustanawiania hasła wykorzystywane jest maskowanie za pomocą haszowania tak, by nikt w firmie nie miał jego podglądu. Wykorzystywana jest tu funkcja bcrypt stworzona pod koniec XX w. Hasło przechowywane jest jako losowy ciąg cyfr i liter.
Jak doszło do tego, że Twitter przechowywał niezamaskowane hasła?
Twitter bije się w pierś i przyznaje, że część haseł została zapisana zanim zakończył się proces haszowania. Serwis twierdzi przy tym, że wewnętrzne śledztwo miało wykazać, iż nie doszło do nadużyć czy wykorzystania danych w sposób nieuprawniony. Sam błąd miał zostać wyeliminowany.
Mimo wszystko firma radzi zmianę. Jeżeli nie logowałeś się w ostatnich dniach do Twittera, zobaczysz po otwarciu aplikacji informację o powyższym błędzie i sugestię zmiany hasła. Możesz zrobić to w dwóch krokach klikając przycisk Go to settings. Swoją drogą ta dwujęzyczność komunikatu jest nawet zabawna.
Następnie zostaniemy przeniesieni do ekranu zmiany hasła. W odpowiednich polach podajemy stare i nowe hasło. Podczas jego tworzenia powinniśmy unikać wprowadzenia hasła używanego już w innych serwisach. Nie powinny być to też proste ciągi typu 1234456 czy password1234. Te, i im podobne, co roku królują w zestawieniach haseł najchętniej używanych przez użytkowników, którym dane logowania wykradziono.
Po kliknięciu Gotowe możemy cieszyć się nowym hasłem, dopóki Twitter nie ogłosi kolejnego błędu lub nie okaże się, że duża partia haseł krąży po sieci.
Świadomy użytkownik nadal będzie przewracał karkówkę na grillu, najczęściej bowiem korzysta z uwierzytelnienia dwuskładnikowego. Żeby zrobić to na Twitterze, trzeba wejść w ustawienia konta i w sekcji Bezpieczeństwo wybrać Ustaw weryfikację logowania.