13:23
2/10/2012

A tak przynajmniej twierdzi @blanket, któremu właśnie nieznani sprawcy gwizdnęli konto. Zhackowany użytkownik Twittera wskazuje na mechanizm resetu hasła jako element, w którym znajduje się “poważna dziura”. I nie chodzi tu o historię sprzed paru tygodni, kiedy do ataku na Twittera wykorzystano konta ofiary na Amazonie i w Apple.

Twitterowy mechanizm resetu hasła

Daniel Dennis Jones, kryjący się pod nickiem @blanket twierdzi, że Twitter limituje próby logowania się (podawania hasła) biorąc pod uwagę jedynie adres IP atakującego, a nie konto, na które próbuje się on nieustannie logować. W związku z tym atak wykonywany przez serwery proxy może trwać w nieskończoność.

Twitter

Twitter

Jones chciałby, aby Twitter blokował dane konto po zdefiniowanej próbie nieudanych logowań. Albo, żeby Twitter wprowadził dwuskładnikowe uwierzytelnienie, tak jak zrobił to Facebook i Google.

Stosuj CAPTCHA

O ile całkowita blokada konto po kilku (-nastu, -dziesięciu) próbach to dość kiepski pomysł, bo dowcipnisie zaraz zaczną dla żartu blokować konta swoim “wrogom”, to stosowany np. przez Google mechanizm CAPTHA mimo, że ma swoje wady to jest już wyraźnym utrudnieniem, które potrafi powstrzymać automatyczne narzędzia do ataków brute-force.

My radzimy jednak naszym “ćwierkającym” czytelnikom upewnić się, że hasło do konta nie jest krótkie i słownikowe — to lepsze podejście niż zdawanie się na to, czy Twitter wprowadzi w końcu dodatkowe zabezpieczenia, czy nie. Jeśli chcecie wskazówek, co do silnego hasła, to pamiętajcie — hasła są jak majtki.

PS. Powyższą wskazówkę zastosujcie zwłaszcza, jeśli jesteście właścicielem fajnego usnername na Twitterze. Konto @blanket wraz z innymi interesującymi kontami Twittera, zaraz po przejęciu zostało wystawione przez atakujących na sprzedaż.

Przeczytaj także:



18 komentarzy

Dodaj komentarz
  1. Ostatnio odkryłem podobną rzecz z TeamViewer: zapomniałem własnego hasła (na komórce) i próbowałem kilka razy z komórki, a chwilę potem przez ich stronę www. Tutaj najwyraźniej też limitowane były próby z danego IP. Może to być znacznie groźniejsze – wystarczy znać login ofiary, metodą bruteforce poznać hasło i można już kontrolować jego/jej komputer (wprawdzie w domyślnych ustawieniach nie ma chyba zezwolenia na pełną kontrolę, ale wystarczającą do przeglądania zasobów).

  2. rozwiązanie jest proste – wystarczy swoje konto w serwisie twitter nazwać np. @veryuninterestingtwitteraccountname lub jakoś tak; nikt nie będzie chciał go nam ukraść

    • Login na Twitterze można zmienić. A konto, które ma dużo followersów może zostać wykorzystane do spamowania.

  3. Włam, spam, wirusy i grzyby – to rozumiem. Ale sprzedawać czyjeś konto prosto po jego zajęciu?

  4. Mam lepszą metodę – nie mam tam konta, tak i na reszcie portali dla społecznościowych ekshibicjonistów. Za parę lat będziecie się wstydzili co tam napisaliście i jakie fotki wrzuciliście.

    • Chyba, że ktoś nie jest dzieckiem i ma już w miarę ustatkowaną osobowość.

    • Pisanie w drugiej osobie w takiej sprawie w tym miejscu jest naciągnięciem.

  5. Ostatnio chciałem doładować bilet i po 3 (!) nieudanych próbach wpisania hasła wyskoczył monit:
    Twoje konto zostało zablokowane. Skontaktuj się z administratorem /nr tel i mail.

    Chyba wolał bym captche…

    Biedny admin, ciekawe ile maili/telefonów odbiera dziennie.

  6. @Heron (nie lubie reply sorry) a nie chciał byś mieć konta niebezpiecznika i pomowac cswoja organizacje, firme np. seciurity albo politykow np. palikota, tuska, kaczynskiego albo wstawic link na tojana/malware i zwiekszyc botnet korzystajac z “niebezpiecznik effect”

    • >nie lubie reply sorry
      co

  7. Dwuetapową weryfikację oa jakiegoś czasu ma rownież dropbox.

  8. @matja, Twitter ma limit długości na login, ale mam obraz.

  9. Nie wiem czemu Twitter ociąga się z 2-składnikowym uwierzytelnianiem przez sms oraz alternatywnie jednorazowe kody generowane w aplikacji na smartfonie. Tak zrobił Facebook i Google. Serwis takiej wielkości jest już niestety atrakcyjnym celem ataków z uwagi na biznes polegający na kupowaniu followersów i najwyższy czas lepiej zabezpieczyć konta użytkowników.

  10. Przyokazji haseł etc.
    Może ktoś polecić jakiś program lub wtyczkę do zapamiętywania haseł pod MAC OS X ? albo przynajmniej pod Google Chrome ? “B3znieczne.H@as0” jest dosć trudne do wpisywania oraz do zapamiętania.

    • 1Password jest całkiem fajny.

    • keepassx z tego co sie orientuje jest na maca, calkiem przyjemne zwlaszcza w polaczeniu z keepassdroid

  11. “mechanizm CAPTHA mimo, że ma swoje wady to jest już wyraźnym utrudnieniem, które potrafi powstrzymać automatyczne narzędzia do ataków brute-force.”

    Czyli, że co? Sugerujecie że KTOKOLWIEK stosuje bruteforce? :D LOL.

    • Zapomniałeś zmienić wartość w polu Imię na “troll”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: