Во Всемирный день паролей, отмечаемый 7 мая, Twitter опубликовал запись в корпоративном блоге своего технического директора Parag Agrawal, в которой рекомендуется пользователям сменить пароль после обнаружения ошибки в системе.
Вместо того, чтобы хранить пароли пользователей в форме, которая не может быть прочитана, пароли в Twitter маскируются через процесс, именуемый как хеширование, который подменяет фактически введённый набор символов (пароль) случайной последовательностью чисел и букв, хранящихся в системе компании.
Она настаивает на том, что пароли не были доступны или скопированы, но наличие ошибки, которая хранит пароли в файле в виде обычного текста, является значительным провалом самых простых методов безопасности.
Комментарии в ответ на ошибку Twitter дают представление о том, насколько шаткое положение термина безопасность в социальных сетях в целом. Следует помнить, что баги - это стандартная практика в отрасли. Пока системы не могут дать нам ответ на вопрос о том, как выглядит самый защищенный пароль. Хеширующие функции, такие как bcrypt, используются Twitter и другими социальными сетями именно по этой причине.
Забудьте свои пароли
Инцидент в компании Twitter как будто говорит о том, что люди должны забыть все пароли, ведь они не могут быть запомнены даже самым хорошо подготовленным шпионом. Забудьте все, что вы знали о их создании, и вместо этого доверьте вопрос в руки хорошего менеджера паролей.
Люди чаще всего обращаются к LastPass, но есть другие, такие как 1Password, NoMorePass. Их использование требует некоторой дисциплины, но имеет общий смысл: продвинутые пользователи не могут отдать свои пароли даже под пыткой, потому они сами их не знают! Почему? Все пароли - это непонятные последовательности символов, которые смешивают всевозможные типы букв, цифры и знаки.
Конечно, LastPass может быть взломан, это не составит большого труда для хакера. Но любой, кто обращается к такой системе, найдет список паролей для сайтов, которые вы посещаете. Однако они зашифрованы, поэтому никому не нужны и в случае нарушения вам не придется их менять. Если возникла проблема, то есть 2FA – многофакторная аутентификация, которая рекомендована для действительно важных сервисов.
Люди, использующие незамысловатый пароль «123456», являются потенциальным источником проблем безопасности, которые могут дорого обойтись, например, компании.
