För att förhindra att du som användare väljer ett för enkelt lösenord har Twitter en lista på 370 förbjudna lösenord. Det är 370 lösenord som är hårdkodade i sidan twitter.com/signup. Du kan enkelt se alla orden genom att högerklicka och välja att läsa källkoden. De finns en bit ned i koden men det går också att använda sökningen “twttr.BANNED_PASSWORDS” och se hela listan. Eller läs den här TXT-filen.
Jag undrar varför Twitter har det här systemet och varför TechCrunch är så positiva. Alla webbplatser som bryr sig om säkerhet har en policy för hur ett lösenord skall konstrueras. En lista på 370 engelska ord (och sifferkombinationer) är inget skydd, möjligtvis ett komplement till lösenordsregler men definitivt inget skydd i sig. De program en hacker använder kan testa miljontals lösenord på kort tid och kan dessutom generera varianter och felstavningar. Twitters säkerhetslösning kan möjligtvis hindra någon att logga in på kompisens konto alltför lätt.
Hackerns ordlistor (som innehåller många fler ord än 370) är alfabetiska och därför skall man börja lösenordet med lösenord i slutet av alfabetet. Ta med siffror och specialtecken och undvik lösenord som bygger på riktiga ord.
Techcrunch bidrog med idén till detta inlägg.
Intressant? Läs även andra bloggares åsikter om Twitter, lösenord, säkerhet, hacker, TechCrunch
Det låter på dig som att detta är Twitters enda försvar, men det tvivlar jag starkt på. Fördelen med att lägga ord i koden på detta vis är att man med javascript kan göra ett test direkt, utan att först behöva skicka till servern, vilket är effektivare på många vis. Sedan bör det ju finnas utterligare säkerhetssystem. Tittar man tex på listan så verkar det vara ord längre än 6 bokstäver, vilket tyder på att dom inte tillåter kortare lösenord.
Du skriver att hackare kan testa miljontals lösenord, och det stämmer med viss modifikation. När man loggar in på en sajt bör det finnas tidspärrar som tvingar in en viss fördröjning, vilket effektivt minskar möjligheternan att “brute-force:a” in sig, samt spärrar som hindrar masstestning från samma ip.
Att man ska välja lösenord i slutet av alfabetet har jag faktiskt aldrig hört innan. Smart!
(Med reservation för att jag inte på något vis är säkerhetsexpert)
Jag kan inte säga något bestämt om Twitters lösenordsregler. Mer än den du så riktigt påpekar, att det skall vara minst sex tecken. Säkra lösenord är alltid en balans mellan användbarhet och säkerhet. Säkerheten går ju ut på att det tar för lång tid för hackern (hans script, egentligen) att gissa lösenordet. Samtidigt skall det vara möjligt att komma ihåg det. Twitter skulle kunna tillämpa regeln att lösenordet skall innehålla stora och små bokstäver och någon siffra. Lösenordsregler är det bästa sättet att tvinga användare att konstruera ett säkert lösenord.
När det gäller tipset att börja med en bokstav i slutet av alfabetet minns jag inte var jag fick det från. Någon artikel eller säkerhetsforum, kanske. Jag har fått mycket hjälp och kunskap från Shields Up, en webbplats om säkerhet på internet. Den har hjälpt mig i över tio år.