Twitter密码安全错误强调行业变更需要
Twitter建议其用户在发现系统缺陷后,它在发现系统缺陷之前在加密过程完成之前将一些密码转换为内部日志。
“我们最近确定了一个错误,存储密码在内部日志中取消屏蔽,”该公司告诉用户。“我们已经解决了这个错误,我们的调查显示任何人都没有违反或滥用。”
Twitter没有透露有多少密码受到影响,但根据BBC,该数字被理解为“大幅”,并且他们被“几个月”暴露。
据报道,Twitter还几个星期前发现了这个错误,并在决定公开并警告用户之前向某些监管机构报告。
虽然没有已知的违规行为,但这再次强调了组织在最佳实践之后的重要性,并且真正需要对密码进行替代身份验证方法。
至少,行业评论员说Twitter不应简单地让用户可以选择启用双因素身份验证(2FA),但应将其作为默认值。
斯坦桑那州的联合创始人兼首席执行官Ambuj Kumar表示,虽然使用Bcrypt散列函数是值得称赞的,但Twitter没有遵循最佳实践。
“结果,密码在明文日志文件中写入,将它们暴露给可以访问日志文件的任何人,”他说。
虽然Twitter声明它已经删除了密码,并且正在实施预防错误再次发生的计划,但Kumar表示,没有保证,因此用户应遵循Twitter的建议,以更改Twitter上的密码,并在其上使用相同的密码。
“许多组织使用备份系统并在多个硬盘驱动器和系统上创建相同文件的各种副本,因此问题仍然是Twitter从所有系统中删除所有副本,或者在某些内部系统上有副本显示从现在人们可能会忘记这一事件的时候,多年来多年来?“他说。
Kumar补充说,整个安全行业都应为保护密码等敏感信息设定更高的标准。
英国国家网络安全中心(NCSC)技术总监IAN Levy已根据网络安全创新者应该寻求解决的顶部区域名称为身份和认证。
“我们必须摆脱密码,”levy每周告诉计算机。“他们不起作用,他们不做人们认为的事情。他们对人不起作用,更不用说安全。我们需要更好的验证方式。“
Vectra营销副总裁Mike Banic表示,Twitter是许多基于Web的和移动应用程序之一,它不需要双因素身份验证作为默认值,即使Twitter用户可以通过更改默认设置启用2FA。
他表示,2FA的重要性是由美国人事管理办公室的违反网络攻击者的违反网络攻击者的违约,该数据作为opm承包商进行背景调查的合法员工。
Heather Howland,销售销售副主席,表示Twitter密码Bug突出了一个需要的安全团队能够积极找到弱密码。
“员工经常重复使用个人和商业用途的密码,”她说。“为每个人迫使每个人的常规密码更改变得无效,因此在实际需要时,确定实时识别弱密码并强制执行上下文密码更新。
客户成功的副主席Ryanwilk Atnudata Security是一家万事达卡公司,表示,组织超出了他们可以采取的所有安全措施的最不可靠的脆弱性的时候,并采用具有高度可信的形式的分层防御方法验证。
“密码是静态信息,可以通过潜意盗贼轻松重新使用,专家建议,如果组织或史的密码将被盗,特别是我们输入的问题,则不再是一个问题大型漏洞的年龄。
“不幸的是,太多人仍然不了解静态密码如何是有效的安全机制。事实上,许多人继续在许多网站上重新使用他们的用户名和密码,即使是重新使用他们的员工用户名以供个人用途打开。因此,当一个帐户被黑客被攻击时,他们的所有帐户都避免了易受攻击的,以及他们的雇主的宝贵信息。“
威尔克补充道:“使用密码来控制帐户访问更简单时代的古朴工件比有效的安全措施更简单。静态密码很容易被盗并重新使用,让用户和组织易受账户收购和盗窃。“
根据Wilk的说法,组织应该实施被动生物识别和行为分析,该行为分析使用用户交互的独特性与设备和服务建立数字身份简介,使组织能够确保用户是他们所说的谁 - 而不是使用A的欺诈者被盗密码。
全球法规和标准的主任Michael Magrath atvasco数据安全标准,表示,对单一共同秘密保护敏感的个人可识别信息(PII)的组织对黑客来说是非常有利可图的。
“虽然没有安全解决方案是100%安全的,但在2018年,没有部署基于风险的身份验证系统的组织希望他们能够在雨滴之间跳舞,但今天的大多数面向消费者的网站不提供用户名,密码和狭窄集合的任何替代品他说,通常可以用Facebook搜查回答的挑战问题。“
但是,Magrath说,这可能正在发生变化。他说:“Fido联盟和万维网联盟和万维网联盟(W3C)的Web认证(WebAuthn)阶段的PERTO的Web身份验证(WebAuthn)协议 - 一个Web标准的最终批准的前兆”,“他说。“W3C邀请在线服务和Web App开发人员实施WebAuthn - 谷歌,微软和Mozilla都有承诺的支持。”
根据Magrath的说法,WebAuthn还可以支持各种生物识别登录,包括面部和语音识别,指纹和虹膜扫描。
“它使用户能够使用服务注册非密码生物识别或二次设备认证方法,从而更换密码,”他说。
“密码可能会以某种形式或形式用于永恒,但计算机密码如我们所知,它可能是生命支持。它的时间显然已经过来了。“
Twitter已出版了以下账户安全提示:
在Twitter上更改密码以及您可能使用相同的密码的任何其他服务。使用您不重复使用其他服务的强密码。可称为双因素身份验证。这是您可以采取的单一最佳操作来增加您的帐户安全性。使用密码管理器以确保您在任何地方使用强大的唯一密码。