2013/02/03

Ataque ao Twitter rendeu Dados de 250 Mil Utilizadores


Já tinha dito em tempos que as questões da segurança electrónica iriam dar cada vez mais que falar. E se por cá também temos tido motivos para preocupações, lá fora as coisas não andam muito melhores. Um dos ataques (bem sucedidos) mais recentes teve como alvo o Twitter, e não deixa de ser caricato que tenham optado por informar o público deste ataque com um post de título "mantendo os nossos utilizadores seguros"!

Um título que poderá soar a piada aos 250 mil utilizadores que viram os seus dados capturados pelos atacantes, incluindo as versões hashed e salted das passwords. O Twitter já terá revogado todos os acessos a estas contas e informado os respectivos utilizadores de que deverão escolher nova password.

Mas, isso já pouco ou nada faz para evitar que as suas passwords originais venham a ser crackadas (hoje em dia, com os GPUs actuais, podem testar-se muitos milhões de passwords por segundo) - e no caso de utilizadores que usem a mesma password ou o mesmo estilo de passwords em vários sites... a coisa complica-se.

Daí que me parece mais que evidente que a era das passwords deveria chegar ao fim. Mesmo sabendo que existem soluções bastante interessantes de criação e gestão de passwords seguras; qualquer sistema que dependa de uma única password estática para se ter acesso está fatalmente comprometido, quer seja por um ataque deste género, como um keylogger ou malware no computador do utilizador. Com o número de telemóveis e smartphones que existem, está na hora para que sistemas de validação/confirmação de identidade evoluam.

Ao fazer login o sistema poderia muito bem verificar a nossa localização, tanto via o GPS do smartphone como através do IP, para garantir que estamos num sítio "habitual" - poderia enviar um código "2 step" para confirmar que a password correcta tinha sido efectivamente introduzida pelo legítimo utilizador, etc. etc.

É certo que não haverá sistemas 100% seguros, mas coisas deste tipo complicariam enormemente a vida aos atacantes...

1 comentário: