Video: How to Reset Forgot Twitter Password (Nobyembre 2024)
Kung ikaw ay isa sa 250, 000 mga gumagamit ng Twitter na natanggap ang email reset email sa Biyernes, sana ay nabago mo na ang iyong password. Kung gumagamit ka ng mga third-party na apps upang mag-post sa Twitter, posible na ang mga app ay gumagamit pa rin ng iyong mga dating kredensyal. I-uninstall at muling i-install ang mga app na nasa ligtas na bahagi.
Tulad ng iniulat namin sa SecurityWatch sa katapusan ng linggo, ang mga umaatake ay nagnanakaw ng mga username, mga email address, mga token ng session, at mga password na inasnan. Ang mga token ng session ay mga espesyal na uri ng mga kriptograpikong cookies na nagpapaalam sa site ng micro-blogging na ang gumagamit ay naka-log in. Hangga't ang sesyon ng session ay may bisa pa (hindi pa nag-expire, binawi, o tinanggal), ang mga gumagamit ay maaaring bumalik sa Twitter nang walang pag-log back sa bawat oras.
Ang pagtanggal sa mga token ng session na ito, tulad ng sinabi ng Twitter na ginawa nito, tinitiyak na ang mga attackers na pinamamahalaang upang maagaw ang mga token ay hindi ma-access ang iyong account. Isinasaalang-alang ang halaga ng pagnanakaw ng data sa labas ng mga cookies sa pag-aani mula sa mga nahawaang computer, ang pag-reset ng token ay hindi kasiya-siya sa mga gumagamit (para sa pag-log in) ngunit epektibo sa pagpapanatiling out sa mga umaatake.
Maaaring Mag-log In
Gayunpaman, may mga ulat na ang ilan sa mga token na ginamit ng mga third-party na app ay hindi naapektuhan. Ang paglikha ng isang bagong password pagkatapos matanggap ang pag-reset ng abiso ay hindi hadlangan ang sariling mga mobile apps ng Twitter o mga kliyente sa desktop tulad ng TweetDeck mula sa pagsusumite ng mga bagong post, iniulat ng The Register. Sinabi ng aming sariling Max Eddy na kailangan niyang baguhin ang mga password sa kanyang mga account sa Twitter sa katapusan ng linggo, ngunit wala sa mga third-party na apps na ginamit niya na nag-udyok sa kanya na i-update ang password sa mas bago.
Ang mga application na gumagamit ng Twitter API ay karaniwang umaasa sa OAuth, isang bukas na pamantayan para sa pagpapatunay sa maraming mga site. Ang session ng mga token na binawi ng Twitter ay hindi mukhang nakakaapekto sa mga app na ginamit sa OAuth upang hawakan ang pagpapatotoo. Isang tao ang nagsabi sa Ang Magrehistro na ang mga app ay hindi humiling ng bagong password hanggang sa tinanggal ito at muling nai-install.
"Kung binago ang isang password sa isang aparato at mayroon kang dalawang iba pang mga aparato na naka-log in gamit ang lumang password (halimbawa), dapat tapusin ng nagbebenta ang lahat ng mga bukas na sesyon para sa ibinigay na account, " sinabi ni Sean Duca ni McAfee na si Sean Duca.
Ang mga application na gumagamit ng OAuth ay tumatanggap ng isang key ng cryptographic session sa unang pagkakataon na nagpapatunay ito sa serbisyo ng Web, at ipinapadala ang mga susi sa kasunod na pagbisita, sinabi ni Cesar Cerrudo, CTO ng IOActive Labs, sinabi sa SecurityWatch. Pinapayagan nito ang mga third-party na app na magtrabaho kasama ang serbisyo nang pinag-uusapan nang walang paulit-ulit na pagpapadala ng impormasyon ng password.
Hindi pa tinitingnan ni Cerrudo ang partikular na sitwasyong ito, kaya't hindi nag-alok ng anumang mga hula sa nangyayari. Ang SecurityWatch ay umabot sa Twitter tungkol sa kung paano tinatrato ang mga sesyon ng OAuth at naghihintay na marinig muli.
Sa pamamagitan ng patakaran, ang Twitter ay hindi "kasalukuyang nag-expire ng mga token ng pag-access, " ayon sa gabay ng kumpanya sa mga developer sa paggamit ng OAuth. "Ang iyong pag-access sa token ay hindi wasto kung ang isang gumagamit ay tahasang tumanggi sa iyong aplikasyon mula sa kanilang mga setting o kung sinuspinde ng isang admin ng Twitter ang iyong aplikasyon, " sabi ng patnubay.
Ito ang magiging pangalawang insidente na may kaugnayan sa OAuth sa Twitter sa nakalipas na ilang linggo. Kamakailan lamang ay tinawag ni Cerrudo ang Twitter para sa pag-abiso sa mga gumagamit tungkol sa isang isyu ng pahintulot na tahimik itong naayos.
Para sa higit pa mula sa Fahmida, sundan mo siya sa Twitter @zdFYRashid.
