Twitter усовершенствовал процесс регистрации на сервисе микроблогов, произведя изменения, призванные воспрепятствовать угону аккаунтов и облегчить смену пароля для законных пользователей.

Аккаунт Twitter представляет большую ценность для злоумышленника, атакующего конкретного участника Сети. Такие профили обычно привязаны к почтовому адресу, их захват открывает атакующему доступ к социальной сфере жертвы, а иногда и к другим аккаунтам. Пароли легко забываются, поэтому случаи использования единого ключа ко всем сайтам и сервисам нередки.

Осознавая реальность угрозы, служба безопасности Twitter активно совершенствует процедуры регистрации и аутентификации на сервисе. За последние два года на Twitter были внедрены система двухфакторной авторизации и ряд дополнительных опций; новейшие из них были анонсированы на прошлой неделе.

«Новый процесс позволяет выбирать привязанный к аккаунту почтовый адрес или номер телефона, на который будет высылаться информация, необходимая для восстановления пароля, — комментирует менеджер по продукции Twitter Молли Вэндор (Mollie Vandor). — Таким образом, даже если вы сменили телефонный номер, путешествуете с ограниченным доступом к своим устройствам или ассоциированный с Twitter email-адрес устарел, у вас всегда есть альтернатива. Мы также упростили процедуру восстановления пароля с iOS- или Android-устройства и добавили некоторые персональные настройки, позволяющие повысить безопасность аккаунта».

Кроме того, компания реализовала новую бихевиористическую систему, способную отслеживать попытки захвата аккаунта. Вероятность таких атак особенно высока, если вы используете один пароль на все случаи виртуальной жизни. «В обеспечение безопасности при таком сценарии мы построили систему, которая анализирует попытки захода в аккаунт, фиксируя такие составляющие, как местоположение, используемое устройство, история входов, и идентифицирует подозрительное поведение», — поясняет Вэндор.

«Если попытка захода сомнительна, вам зададут простейший вопрос по аккаунту, что-то, что известно только вам, — продолжает эксперт. — Это делается для подтверждения безопасности аккаунта, до выдачи разрешения на доступ. Об обнаруженной необычной активности мы также предупреждаем по почте, чтобы в случае необходимости вы успели сменить пароль».

Похожие системы работают и на других часто атакуемых сайтах. Google, например, запустила серверный поведенческий анализатор для Gmail — он идентифицирует подозрительные попытки захода и способен фиксировать перехват со стороны государственных служб.

Категории: Главное, Кибероборона, Хакеры