Inga produkter i varukorgen.
Experten varnar efter Twitter-haveriet
säkerhet På självaste World Password Day fick Twitter uppmana sina användare att byta lösenord. En bugg hade gjort att kundernas lösenord skrivits ut i klartext i företagets egna loggar. Nu varnar experten för konsekvenserna.
Totalt fick 330 miljoner Twitter-användare uppmaningen att de borde ”överväga att byta lösenord”. Detta efter att en bugg hade gjort att användares lösenord skrivits ut i klartext i företagets egna loggar. Enligt Per Söderqvist, säkerhetsexpert på Sophos, är formuleringen ”borde överväga” ganska försiktig, inte minst med tanke på att vi inte har fått veta omfattningen av vad som faktiskt skett.
– Om Twitter hävdar att ingenting tyder på att lösenord ska ha läckt ut beror det förmodligen mer på tur än skicklighet. Även om vi antar att det är ett begränsat antal människor som har haft tillgång till företagets egna serverloggar finns inga garantier för att lösenord inte är på drift. Twitters 330 miljoner användare borde därför inte fundera särskilt länge på att byta lösenord. Användarna borde dessutom aktivera tvåfaktorsauktoriseringen. Den gör att bara lösenordet inte räcker för att någon obehörig ska komma in på kontot, kommenterar Per Söderqvist.
Skriv inte lösenorden i klartext
Vanligtvis krypteras lösenorden i Twitters interna system så att de anställda ser en slumpmässig kombination av siffror och bokstäver. Enligt experten påminner buggen om att lösenord inte ska skrivas i klartext till temporära filer som ska raderas vid ett senare tillfälle. Mycket kan hända innan en radering är avklarad. Och om det är illa att spara lösenord i klartext till tempfiler så är det förstås om möjligt ännu värre att göra motsvarande på ett ställe där de sparas permanent. Tyvärr är det precis vad Twitter inser att de gjort.
– Twitters hantering av lösenord påminner också om vikten av att använda unika lösenord för olika konton. För den som använder ett och samma lösenord för olika sociala kanaler, e-posttjänster och kanske rent av arbetsgivarens domän uppstår betydande säkerhetsrisker när lösenord blottas på det här viset, säger Per Söderqvist.
Denna artikel var tidigare publicerad på tidningen telekomidag.se
