Hlavní navigace

Twitter doporučuje novinám bezpečné heslo, alespoň 20 znaků

Daniel Dočekal 1. 5. 2013

Po dalších případech hacknutí prominentních účtů amerických novin Twitter novinám poskytuje rady, jak zabezpečit účet. Působí ale poněkud bezradně.

Nedávný hack účtu The Associated Press na Twitteru jasně ukázal na dva zásadní problémy. Prvním je to, že „zprávám“ z Twitteru není možné věřit (hacker oznámil na Twitteru dvě exploze v Bílém Domě a zranění Baracka Obamy). Druhým je to, že Twitter ani po mnoha a mnoha letech (a problémech) stále neposkytuje jiné zabezpečení účtu než heslo.

Přihlašovací jméno je tak jako tak známo, shoduje se s názvem účtu (nebo e-mailem, pod kterým je účet vytvořen). Případnému útočníkovi pak stačí už jenom získat heslo – v řadě případů prostým uhádnutím, ale možné jsou i další způsoby – slovníkový útok, odposlechnutí, podvržení software, které umožní heslo získat při přihlašování, sociální inženýrství (phishing/rhybaření například) atd.

Ochranu účtu na Twitteru komplikuje i to, že je nutné aby všichni, kdo účet používají, znali heslo. Twitter nenabízí možnost vytvářet uživatelské účty a přiřazovat je jako správce. A také nenabízí žádný dodatečný způsob ochrany, byť dvou-faktorovou autentizaci slibuje již delší dobu.

V souvislosti s posledními hacknutými účty amerických médií Twitter rozeslal médiím „doporučení“ týkající se zabezpečení účtu, ve kterém také varuje, že se domnívá, že útoky na významné účty budou pokračovat.

Bezpečný počítač je odpojený počítač

Doporučení jsou z řad obecně platných (měňte používané heslo, nikdy neposílejte heslo e-mailem, ani interně, používejte náhodně generované heslo nebo náhodné řetězce slov) či poněkud záhadných (doporučení minimálního počtu dvaceti znaků působí zvláštně). Twitter také doporučil používat některé z řešení na generování a správu hesel (1Password či LastPass). 

Twitter ale také správně upozorňuje, že je nutné udržet bezpečný i e-mail spojený s účtem, protože ten slouží nejenom k přihlášení, ale také ke komunikaci v případě resetu hesla i pro další oficiální komunikace.

Praktické a užitečné je upozornění, že je nutné kontrolovat, jaké aplikace získaly přístup k účtu na Twitteru (viz twitter.com/settings/application). Osobně dodám, že v případě vyloženě „firemních“ účtů na Twitteru by k němu měly aplikace být připojeny pouze výjimečně a pouze takové, které jsou opravdu důvěryhodné.

Nejvíce absurdní je doporučení, aby noviny účet na Twitteru používaly z počítače, ze kterého se nepřistupuje na web ani do e-mailu, byť lze pohnutky Twitteru vedoucí k tomuto doporučení chápat.

Ne všichni jsou si na Twitteru rovni

V textu doporučení rozeslaném novinám (zde) je novinám zjevně poskytnuta i specifická e-mailová adresa, na kterou mohou hlásit hacknuté účty. Což je samozřejmě něco, čeho se „běžným smrtelníkům“ (ale nakonec ani firmám z jakési „České republiky“) nedostává.

WT100

Skutečnost je taková, že stávající systém přihlašování na Twitter je závislý čistě jen a pouze na tom, že dokážete mít dostatečně silné heslo a hlavně na tom, že toto heslo se nedostane do nepovolaných rukou. Neexistuje žádný mechanismus dodatečné (dvoufaktorové) autentizace ani varování před přihlášením z „nepovoleného“ zařízení (alespoň tak, jak to má Facebook). Není k dispozici ani žádný použitelný mechanismus pro rychlé získání hacknutého účtu zpět.

Zdroj: Twitter Warns Journalists: „We Believe That These Attacks Will Continue“

Našli jste v článku chybu?
Lupa.cz: RTB už není výprodej volného prostoru

RTB už není výprodej volného prostoru

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?