Hlavní navigace

Konec zneužitých účtů. Twitter konečně přinese dvoufázové přihlašování

24. 4. 2013

Sdílet

 Autor: Redakce

Magazín Wired zjistil, že Twitter už také pracuje na dvoufázovém přihlašování. Druhý stupeň bezpečnosti už dávno používají banky; v online světě se uchytil u služeb Googlu, Facebooku a teď jej nasadil i Microsoft.

Takhle vypadá ověřovací kód Googlu zaslaný pomocí SMS
Takhle vypadá ověřovací kód Googlu zaslaný pomocí SMS

U dvoufázového přihlašování si musíte pamatovat jméno a heslo, ale navíc je třeba mít při ruce ještě druhý účet nebo telefon. Pomocí SMS, e-mailu na sekundární účet nebo speciální aplikace získáte přístupový klíč, se kterým se už přihlásíte. Nestačí znát pouze heslo, nebo pouze klíč, potenciální útočník musí mít obě informace.

Ani dvoufázové přihlašování není všespásná technologie. Zkušený cracker prolomí účet i jiným způsobem. A pokud vám někdo ukradne nezabezpečený mobil nebo máte na sekundárním účtu stejné heslo, stejně jste nahraní. Přesto se jedná o nejdostupnější způsob, jak chránit citlivé informace.

 

Ale zpět k Twitteru. Určitě jste v posledních letech slyšeli několik příběhů, jak někdo někomu hacknul účet a pak za něj psal nesmysly. Naposledy se to stalo tiskové agentuře AP. Útočníci pak na Twitter napsali, že došlo k výbuchům v Bílém domě a prezident byl zraněn. Tuto zprávu převzala ostatní média (aniž by ji ověřila) a už to mělo vliv na burzu. Viz zpráva České televize.

Útočníci díky phishingovému triku získali heslo od jednoho z redaktorů, který účet AP spravuje. Selhal člověk, který se nechal nachytat. Ale nic by se nemuselo stát, kdyby Twitter nabízel druhý stupeň zabezpečení a pro přihlášení z jiného místa by vyžadoval kód zaslaný na mobil. Tyto skandály jsou hlavním důvodem, proč Twitter funkci urychleně doplní.

WT100

Více správců jednoho účtu

Není to nicméně jediný problém, který Twitter sužuje. Na příkladu AP, ale i jiných firemních účtů nebo profilů značek, je vidět nedostatečné zabezpečení při spravování více lidmi. Stránky na Facebooku nebo Googlu+ mají jednoho vlastníka, který přiděluje manažerská práva ostatním. Každý má své vlastní přihlašovací údaje a nemůže vlastníka převýšit. Jenže na Twitteru musí více správců sdílet stejné jméno a heslo.

Hrozí zde únik z více míst najednou a také se může stát, že některý z bývalých zaměstnanců firmy (který se stále může přihlásit, pokud firma nezměnila údaje) účet přejmenuje, změní heslo nebo jej rovnou nechá zrušit. Ostatní nenadělají nic. V případě silné agentury AP by se náprava počítala v minutách nebo hodinách. Pokud by někdo napadl profil Cnews.cz, můžeme se s ním rozloučit na týdny, případně úplně. Twitter totiž nemá Čechy rád. Fakt nemá.