Image
11.5.2018 0 Comments

Twitter pripúšťa bezpečnostný problém pri ukladaní hesiel - radšej si to svoje zmeňte!

Twitter zaznamenal vo svojom systéme závažnú bezpečnostnú chybu - za určitých okolností uložil kópie nešifrovaných hesiel svojich užívateľov. Áno, pochopili ste správne, heslá boli uložené na disk v textovej podobe.

Každý, kto sa aspoň trochu zaujíma o bezpečnosť na internete, vie, že uloženie nešifrovaných hesiel vo forme jednoduchého textu sa zásadne neodporúča. So surovou podobou hesla by mal systém pracovať iba na úrovni operačnej pamäte - aj to len v prípade vytvorenia či zmeny užívateľa alebo počas overovania v rámci prihlasovacieho procesu.

Textová podoba hesla by nemala byť ukladaná ani do dočasných súborov, ktoré sú neskôr vymazané. Ešte pred korektným vymazaním môže totiž dôjsť k chybe v programe, odpojeniu disku alebo iným nečakaným stavom, a súbor s heslom alebo heslá na disku zostanú.

Heslá by sa nemali uchovávať ani vo virtuálnej pamäti, pretože sa veľmi ľahko môžu ocitnúť v odkladacom súbore na disku. V operačnom systéme Windows v tomto prípade pomôže funkcia VirtualLock, ktorá zabezpečí "uzamknutie" príslušných blokov pamäte vo fyzickej pamäti RAM - a tie tak neskončia v odkladacom súbore (swapfile).

Je nutné sa vyvarovať akýmkoľvek činnostiam, ktoré by viedli k trvalému uloženiu hesiel v jednoduchej textovej podobe. Súčasťou príslušných opatrení musí byť samozrejme aj NEuloženie hesiel do súborov s protokolmi. Bohužiaľ, presne toto pravidlo Twitter porušil.

Dobrou správou je, že samotná databáza obsahujúca heslá bola v prípade Twitteru naimplementovaná bezpečne. Twitter využíva hashovací algoritmus bcrypt, ktorý na zvýšenie bezpečnosti a znemožnenie útokov hrubou silou používa opakované pre-hashovanie využitím saltov (náhodných postupností znakov).

Vďaka hashovacím mechanizmom, ako je práve bcrypt, je možné uložiť do databázy miesto hesiel ich vypočítané hashe a prihlasovacie údaje overovať práve proti týmto odtlačkom. Z hasha však nie je možné získať pôvodnú textovú podobu hesla. 

Kybernetickým zločincom dokonca veľmi nepomôže ani to, ak sa im súbor alebo databázu s hashovanými heslami podarí ukrádnúť. Musia totiž spočítať hashe pre každé možné heslo (alebo použiť slovníky pravdepodobných hesiel), výsledky porovnávať s ukradnutými odtlačkami a dúfať v šťastnú náhodu, že tak heslo "uhádnu" aspoň pri niektorých používateľoch.

Zlou správou v prípade Twitteru je, že vysoká miera bezpečnosti poskytovaná funkciou bcrypt bola degradovaná zapisovaním pôvodnej textovej podoby hesiel do systémových logov. Ak pokiaľ sa útočníci pozrali miesto do databázy s heslami do súborov s týmito protokolmi, nemuseli nič dešifrovat ani vykonať "slovníkové útoky."

Čo s tým? Twitter tvrdí, že chyba je už opravená a nič nenasvedčuje tomu, že došlo k nejakému zneužitiu alebo narušeniu dát. Odporúča len, aby užívatelia "zmenu svojho hesla zvážili." Spoločnosť Sophos je však konzervatívnejšia a vyzýva na okamžitú zmenu hesla - a to aj z toho dôvodu, že spoločnosť Twitter neoznámila žiadnu informáciu o dĺžke trvania opísaného bezpečnostného problému, ani o počte takto omylom zhromaždených hesiel. Z tohto dôvodu nemožno posúdiť, koľkých hesiel sa mohol prípadný únik týkať.

Svoju bezpečnosť na Twitteri môžete zvýšiť používaním tzv. dvojfaktorovej autentizácie, ktorú možno poznáte pod označením "certifikované prihlásenie." Pre úspešné prihlásenie je potrebné zadať špeciálny kód na jedno použitie, ktorý je zaslaný na mobilný telefón užívateľa - prípadne je tento kód na mobilnom alebo inom zariadení vypočítaný. Inými slovami, samotné heslo pre úspešné prihlásenie nie je dostatočné.

Zdroj: sophos.com.

Zobrazit Galériu
Autor: Redakcia

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hackeri sa čoraz častejšie zameriavajú na televízory, herné konzoly a montážne roboty. Väčšina ich majiteľov o tom ani nevie

16.08.2018 00:00

Počet hackerských útokov na internet vecí (na internet pripojené inteligentné domáce spotrebiče, robotické jednotky v strojárstve alebo autá) vzrástol v minulom roku medziročne o alarmujúcich 600 %. D ...

Bezpečnosť

Google znížil úspešnosť phishingových útokov na nulu

27.07.2018 00:20

Google môže poslúžiť ako najlepší príklad toho, ako môžu bezpečnostné kľúče fungovať lepšie ako iné formy viacfaktorovej autentifikácie. Podľa webu Krebs on Security technologický gigant v roku 2017 p ...

Bezpečnosť

Smartfóny možno sledovať na diaľku bez vedomia používateľa a aj bez zapnutého GPS

23.07.2018 00:20

Možno si myslíte, že vypnutie lokalizačných funkcií telefónu zabráni v zistení vašej polohy, ale výskumníci z Northeastern University v Bostone tvrdia, že to nie je vždy tak. Tím výskumníkov nedávno n ...

q

Žiadne komentáre

Vyhľadávanie

Najnovšie videá



PC forum button