Hlavní navigace

Twitter doporučuje novinám bezpečné heslo, alespoň 20 znaků

Daniel Dočekal

Po dalších případech hacknutí prominentních účtů amerických novin Twitter novinám poskytuje rady, jak zabezpečit účet. Působí ale poněkud bezradně.

Nedávný hack účtu The Associated Press na Twitteru jasně ukázal na dva zásadní problémy. Prvním je to, že „zprávám“ z Twitteru není možné věřit (hacker oznámil na Twitteru dvě exploze v Bílém Domě a zranění Baracka Obamy). Druhým je to, že Twitter ani po mnoha a mnoha letech (a problémech) stále neposkytuje jiné zabezpečení účtu než heslo.

Přihlašovací jméno je tak jako tak známo, shoduje se s názvem účtu (nebo e-mailem, pod kterým je účet vytvořen). Případnému útočníkovi pak stačí už jenom získat heslo – v řadě případů prostým uhádnutím, ale možné jsou i další způsoby – slovníkový útok, odposlechnutí, podvržení software, které umožní heslo získat při přihlašování, sociální inženýrství (phishing/rhybaření například) atd.

Ochranu účtu na Twitteru komplikuje i to, že je nutné aby všichni, kdo účet používají, znali heslo. Twitter nenabízí možnost vytvářet uživatelské účty a přiřazovat je jako správce. A také nenabízí žádný dodatečný způsob ochrany, byť dvou-faktorovou autentizaci slibuje již delší dobu.

V souvislosti s posledními hacknutými účty amerických médií Twitter rozeslal médiím „doporučení“ týkající se zabezpečení účtu, ve kterém také varuje, že se domnívá, že útoky na významné účty budou pokračovat.

Bezpečný počítač je odpojený počítač

Doporučení jsou z řad obecně platných (měňte používané heslo, nikdy neposílejte heslo e-mailem, ani interně, používejte náhodně generované heslo nebo náhodné řetězce slov) či poněkud záhadných (doporučení minimálního počtu dvaceti znaků působí zvláštně). Twitter také doporučil používat některé z řešení na generování a správu hesel (1Password či LastPass). 

Twitter ale také správně upozorňuje, že je nutné udržet bezpečný i e-mail spojený s účtem, protože ten slouží nejenom k přihlášení, ale také ke komunikaci v případě resetu hesla i pro další oficiální komunikace.

Praktické a užitečné je upozornění, že je nutné kontrolovat, jaké aplikace získaly přístup k účtu na Twitteru (viz twitter.com/settings/application). Osobně dodám, že v případě vyloženě „firemních“ účtů na Twitteru by k němu měly aplikace být připojeny pouze výjimečně a pouze takové, které jsou opravdu důvěryhodné.

Nejvíce absurdní je doporučení, aby noviny účet na Twitteru používaly z počítače, ze kterého se nepřistupuje na web ani do e-mailu, byť lze pohnutky Twitteru vedoucí k tomuto doporučení chápat.

Ne všichni jsou si na Twitteru rovni

V textu doporučení rozeslaném novinám (zde) je novinám zjevně poskytnuta i specifická e-mailová adresa, na kterou mohou hlásit hacknuté účty. Což je samozřejmě něco, čeho se „běžným smrtelníkům“ (ale nakonec ani firmám z jakési „České republiky“) nedostává.

Skutečnost je taková, že stávající systém přihlašování na Twitter je závislý čistě jen a pouze na tom, že dokážete mít dostatečně silné heslo a hlavně na tom, že toto heslo se nedostane do nepovolaných rukou. Neexistuje žádný mechanismus dodatečné (dvoufaktorové) autentizace ani varování před přihlášením z „nepovoleného“ zařízení (alespoň tak, jak to má Facebook). Není k dispozici ani žádný použitelný mechanismus pro rychlé získání hacknutého účtu zpět.

Zdroj: Twitter Warns Journalists: „We Believe That These Attacks Will Continue“

Našli jste v článku chybu?

1. 5. 2013 19:27

Tom (neregistrovaný)

Jestli má jakákoliv firma takové mezery v zabezpečení firemních informací, že někdo dokáže zjistit heslo k firemnímu účtu na Twitteru, pak je zneužití firemního Twitteru ten nejmenší problém. Buď má firma řádně proškoleny zaměstnance z bezpečnosti práce na internetu a nakládání s tajnými informacemi, nebo nemá, a v takovém případě nepomůže ani dvoufaktorová autorizace, ani nic jiného.

2. 5. 2013 11:34

Tomáš Kapler (neregistrovaný)

Podle mě existuje mnohem lepší řešení - prostě nepoužívat pro postování Twitter, ale právě nějakou inteligentní aplikaci typu Socialbakers Builder, která právě vyřeší to, že můžou postovat různí lidi pod svými vlastními údaji, aniž kdokoliv z nich má přístup ke twitter heslu, a že třeba vše musí ve finále někdo schválit atp. Jasně že to není pro nějakého frantu vomáčku, ale tyhle velké megafirmy by s tím neměly mít problém.

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět