Gå direkt till innehåll
– Om Twitter hävdar att ingenting tyder på att lösenord ska ha läckt ut beror det förmodligen mer på tur än skicklighet, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.
– Om Twitter hävdar att ingenting tyder på att lösenord ska ha läckt ut beror det förmodligen mer på tur än skicklighet, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Blogginlägg -

Lösenord ska aldrig sparas i klartext

Uppmaningen kan kännas självklar, på gränsen till fånig. För några dagar sedan blev vi dock påminda om att det givna inte alltid är så givet. Inte ens för ett stort och rimligen säkerhetsmedvetet företag som Twitter där en bugg gjort att användares lösenord skrivits ut i klartext i företagets egna loggar. I vanliga fall (när det fungerar som det ska) krypteras lösenorden i Twitters interna system så att de anställda ser en slumpmässig kombination av siffror och bokstäver.

På självaste ”World Password Day” fick Twitter därför gå ut med uppmaningen att användarna borde ”överväga att byta lösenord”. Det är en ganska försiktig formulering. Särskilt med tanke på att vi inte får veta omfattningen av vad som faktiskt skett.

Det här påminner också om att lösenord inte ska skrivas i klartext till temporära filer som ska raderas vid ett senare tillfälle. Alla med någon slags erfarenhet vet att det kan hända alltför mycket innan en radering är avklarad. Och om det är illa att spara lösenord i klartext till tempfiler så är det förstås om möjligt ännu värre att göra motsvarande på ett ställe där de sparas permanent. Tyvärr är det precis vad Twitter inser att de gjort.

– Om Twitter hävdar att ingenting tyder på att lösenord ska ha läckt ut beror det förmodligen mer på tur än skicklighet. Även om vi antar att det är ett begränsat antal människor som har haft tillgång till företagets egna serverloggar finns inga garantier för att lösenord inte är på drift. Twitters 330 miljoner användare borde därför inte fundera särskilt länge på att byta lösenord. Användarna borde dessutom aktivera tvåfaktorsauktoriseringen. Den gör att bara lösenordet inte räcker för att någon obehörig ska komma in på kontot, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– Twitters hantering av lösenord påminner också om vikten av att använda unika lösenord för olika konton. För den som använder ett och samma lösenord för olika sociala kanaler, e-posttjänster och kanske rent av arbetsgivarens domän uppstår betydande säkerhetsrisker när lösenord blottas på det här viset, avslutar Per Söderqvist.

Om du bevakar säkerhetsfrågor och vill prata mer om hanteringen av lösenord och kryptering är du välkommen att kontakta Per Söderqvist, säkerhetsexpert på Sophos, telefon 0761-75 00 64 eller e-post per.soderqvist@sophos.com.

Här kan du läsa mer om Twitters hantering av lösenord och vad som kan göras för att öka IT-säkerheten»

Relaterade länkar

Ämnen

Taggar

Presskontakt

Per Söderqvist

Per Söderqvist

Presskontakt Team Leader Sales Engineer Nordics and Baltics +46 (0) 76 175 00 64
Jonas Paulsrud

Jonas Paulsrud

Presskontakt Presskontakt, Westmark Information +46 708 133472

Relaterat material

Relaterade nyheter

Relaterade event

Cybersecurity Evolved

Sophos skyddar över 400 000 organisationer av alla storlekar i mer än 150 länder och är världsledande inom nästa generations cybersäkerhet. SophosLabs är en central del av verksamheten och består av ett globalt team av säkerhetsexperter som arbetar med att säkra klienter (bärbara datorer, servrar och mobila enheter) och nätverk med hjälp av moln- och AI-baserade lösningar. Sophos lösningar skyddar mot ständigt nya hot i form av bland annat gisslanprogram, skadlig kod, så kallade exploits, riktade attacker och nätfiske.

I molnplattformen Sophos Central finns en hel portfölj av produkter och tjänster, inklusive det avancerade klientskyddet Intercept X och brandväggen XG. Det ger en automatiserad, synkroniserad säkerhet och en helhetslösning som är tillgänglig via API:er. Sophos säljer sina produkter och tjänster via en global kanal med över 47 000 partner och Managed Service Providers (MSP). Företaget riktar sig också direkt till konsumenter med Sophos Home. Sophos har sitt huvudkontor i Oxford, England och är noterat på Londonbörsen under namnet ”SOPH”. Mer information finns på www.sophos.com.

Sophos
Färögatan 33
164 51 Kista
Sverige