Pojawił się nowy problem bezpieczeństwa korporacyjnego: Twitter ogłosił, że wszyscy jego użytkownicy – ponad 330 milionów – muszą zmienić swoje hasła. Jak teraz.
To się starzeje. Niezależnie od tego, czy hakerzy zdobyli 6 milionów haseł do LinkedIn w 2012 roku, zeszłoroczne naruszenie bezpieczeństwa Equifax, czy kradzież danych SunTrust przez pracownika w tym roku, problemy pojawiają się z roku na rok. I to nawet nie obejmuje fiaska Facebooka/Cambridge Analytica.
Twitter ogłosił dziś, że błąd pozwolił na przechowywanie haseł w postaci zwykłego tekstu w dzienniku wewnętrznym, zamiast zapewniać, że zostały zaszyfrowane. Oto wyjaśnienie, które pojawia się po zalogowaniu:
Kiedy ustawiasz hasło do swojego konta na Twitterze, używamy technologii, która je maskuje, aby nikt w firmie nie mógł go zobaczyć. Niedawno znaleźliśmy błąd, który przechowywał zdemaskowane hasła w wewnętrznym dzienniku. Naprawiliśmy ten błąd, a nasze dochodzenie nie wykazuje żadnych oznak naruszenia lub nadużycia przez nikogo.
Ze względu na dużą ostrożność prosimy o rozważenie zmiany hasła we wszystkich usługach, w których używałeś tego hasła.
Dużo ostrożności? Może. Należy jednak wziąć pod uwagę, że podobnie jak w przypadku SunTrust, istnieją okoliczności, w których obecni lub byli pracownicy mogą wykraść dane w celu sprzedaży. A może ktoś włamał się do sieci firmy i szukał danych do przechwycenia.
ile lat ma tameka?
Obfitość ostrożności jednej osoby jest rozsądną rozwagą innej osoby. Obecnie roztropność obejmuje uznanie, że ponieważ nie można ufać każdej firmie w zakresie odpowiedniej ochrony danych, nie można ufać każdy firmy, aby to zrobić. Nie ma znaczenia, jaki może być powód lub jak szybko firma go znalazła. (Twitter powiedział, że wykrył błąd „niedawno”, cokolwiek to znaczy.) Wszystko, co musisz wiedzieć, to to, że ktoś coś schrzani i Twoje dane będą zagrożone.
Prawdopodobnie słyszałeś już wszystkie te sugestie, ale czas przyjrzeć się im ponownie.
- Używaj silnych haseł. Nie próbuj czegoś sprytnego, takiego jak zastępowanie liter cyframi (np. 3 zamiast e) lub zabawna pisownia. Doświadczeni cyberprzestępcy są znacznie sprytniejsi od Ciebie i widzieli to wszystko tak wiele razy, że używają aplikacji do łamania haseł w celu zautomatyzowania procesu. Używaj długich haseł – moje zwykle mają od 20 do 30 znaków, chyba że jestem zmuszony użyć mniej – i zawierają losowe kolekcje wielkich i małych liter, cyfr i symboli.
- Nie używaj ponownie haseł. Wybierz nową dla każdej witryny i aplikacji. Tak, to ból. Obiecuję, że będzie to większy ból, jeśli ktoś zdobędzie jedno z Twoich haseł, a następnie użyje go w innych witrynach.
- Użyj bezpiecznego hasła. Oparta na chmurze może dać Ci dostęp, gdziekolwiek się udasz. (Ale pamiętaj, aby użyć do tego naprawdę trudnego hasła.)
- Użyj autoryzacji dwuskładnikowej, która będzie wymagać podjęcia działania na telefonie. Zazwyczaj można ustawić przeglądarkę tak, aby była rozpoznawana przez usługę internetową, aby nie przechodzić przez nią za każdym razem. Wciąż trochę irytujące, ale ważne.
- Unikaj też używania tych samych pytań bezpieczeństwa i odpowiedzi w wielu witrynach. Jeśli ktoś może znaleźć nazwisko panieńskie matki na jednej stronie, w przeciwnym razie może użyć go na innej.
