Twitch prosi o zmianę haseł na „trochę” dłuższe

Serwis usług transmisji strumieniowej gier komputerowych Twitch opublikował kilka dni temu alert ostrzegawczy, iż hackerzy naruszyli bezpieczeństwo informacji ich systemów oraz mogli uzyskać dostęp do poufnych informacji na temat użytkowników.

Wiadomość mailowa przesłana do niektórych użytkowników opisywała typy informacji, do których mogli mieć dostęp cyberprzestępcy:    

„Piszemy do Ciebie, gdyż mogło dojść do nieautoryzowanego dostępu do niektórych danych twojego konta. Zachodzi również prawdopodobieństwo, że skradziono dane takie jak nazwa użytkownika i powiązany adres e-mail oraz hasło, (które było zaszyfrowane), ostatni adres IP, z którego dokonano logowania do konta, niektóre z danych kart kredytowych (typ, fragment jej numeru, oraz data wygaśnięcia) oraz wszelkie informacje, które nam podałeś, imię, nazwisko, numer telefonu, adres i data urodzenia.

NALEŻY PAMIĘTAĆ: Twitch nie przechowuje i nie przetwarza pełnych numerów kart kredytowych, debetowych tak, więc twoja karta jest bezpieczna. Dla twojego bezpieczeństwa przeterminowaliśmy twoje hasło do konta oraz dodatkowo, jeżeli posiadałeś połączone konto wraz z Twitterem lub YouTube to zostały one rozłączone.

Będziesz proszony o stworzenie nowego hasła następnym razem, gdy spróbujesz się zalogować na konto Twitch. Jeśli będzie to stosowne będziesz również musiał ponownie połączyć konto z Twitterem i YouTube i dokonać uwierzytelnienia przez Facebooka, zaraz po zmianie hasła. Również zalecamy abyś zmienił hasło na innych profilach, do których posiadasz dostęp przez przeglądarkę a były one takie same lub podobne, jak te do Twitcha. Przepraszamy za niedogodności. The Twitch Team”  

Podobno niektóre wersje tej wiadomości świadczyły o tym, że hasło „mogło zostać przechwycone w formie zwykłego tekstu za pomocą złośliwego kodu podczas logowania się do strony dnia 3 marca 2015.”.  

Resetowanie haseł na Twitchu: Obowiązkowa zmiana i jej konsekwencje

Twitch roztropnie zresetował hasła kont – wymagając od użytkowników, by wybrali nowe oraz połączyli ponownie konta z portalami społecznościowymi. Bezdyskusyjne jest to, że jeśli wystąpiło potencjalne zagrożenie uzyskania dostępu do hasła naszego konta, powinniśmy upewnić się, że nie używamy tego samego hasła do innych kont w Internecie.  

Jakkolwiek, sprawa nie poszła do końca tak gładko, jak się spodziewano. Wielu użytkowników Twitcha skarżyło się na zmarnowane godziny, spędzone w oczekiwaniu na linki do zresetowania hasła, które powinny były trafić na ich skrzynki mailowe. Przypuszczalnie zbyt dużo osób próbowało dokonać tego w tym samym czasie i to, że strona wymagała od użytkowników podania hasła, które powinno składać się, z co najmniej 20 znaków.  

„Mijają godziny a ja w dalszym ciągu nie otrzymałem linków”

„Resetowanie przez was hasła jest śmieszne, miałem hasło 9 znakowe i było dobrze, 20 znaków to przegięcie”

„Tak, więc zresetowaliście siłą moje hasło z powodu wyłomu bezpieczeństwa waszej ochrony. Teraz nie mogę ustawić nowego hasła składającego się z 12 znaków, które zawierają duże i małe litery oraz cyfry. Jakie dokładnie macie obecne wymagania odnośnie haseł?”  

To spowodowało dylemat w siedzibie Twitcha. Czy powinni zapewnić swoim użytkownikom podwyższone bezpieczeństwo, czy pozwolić im na swobodę wyboru sposobu zabezpieczenia dostępu do swojego konta, tak by mogli sami zadecydować, jakiego typu hasło będą używali.  

Dla pewnych pracowników Twitcha oczywistym było, że bezpieczeństwo i posiadanie długiego i niewygodnego hasła jest ważniejsze od bycia zadowolonym z hasła, które może i krótkie i wygodne, ale dużo słabsze, przez co łatwiejsze do złamania. Jednak zasady wyboru nowych haseł zostały złagodzone.  

Zmiana polityki haseł: Jak Twitch złagodził swoje wymagania?

„Edit #2: Otrzymaliśmy informacje o waszych obawach i uwagach na temat zbyt restrykcyjnych wymagań odnoszących się do haseł. Zmniejszyliśmy minimalną wymaganą liczbę znaków do 8. Praktykowanie bezpiecznych haseł nadal pozostaje bardzo istotnym procesem zabezpieczenia własnego konta.”  

Tak, jak widać, większość firm wzmacnia swoje zabezpieczenia po tego typu atakach hackerski, ale Twitch tego nie zrobił. Zrobił to by uspokoić narzekania swoich użytkowników, którzy nie nauczyli się tego jeszcze, że może gdyby używali managera haseł życie stało by się dużo łatwiejsze.  

Manager haseł jako sposób na lepsze zabezpieczenie kont

Manager haseł zapamiętuje dla Ciebie hasła i nie jest istotne, jak długie i skomplikowane będą. Idealnie jest, gdy hasła dodatkowo są szyfrowane i chronione, jak to ma miejsce np. w Bitdefender Portfel.  

Szczerze mówiąc, Twitch zaoferował swoim użytkownikom używanie managera haseł, jako środka lepszego zabezpieczenia, ale wydaje mi się, że pozostanie przy swoim i wymaganie dłuższego hasła skłoniłoby może kilkoro użytkowników do skorzystania z takiego oprogramowania zarządzania hasłami.