Linkedin security újratöltve

2014. szeptember 05. 14:04 - Csizmazia Darab István [Rambo]

Ha valaki emlékszik még a tavalyi Linkedines adathalász akcióra, vagy a még ennél is hírhedtebb és kevésbé kellemes 2012-es incidensre, ahol 6.5 millió jelszó került illetéktelen kezekbe, annak most jó hírekkel tudunk szolgálni. Egy szerdai hivatalos blogbejegyzés ugyanis jelentős biztonsági javulásról számol be, illetve mutatja be ezek részletes használatát.

Hogy azért a 6.5 milliós múltbeli dolog mellett se menjünk el azért teljesen szó nélkül, idézzük fel ezt röviden. 2012. júniusában magát a portált támadva 6.5 millió felhasználó adata került illetéktelen kezekbe.

A weboldal üzemeltetői itt nem csak abban hibáztak, hogy egyáltalán megtörténhetett ez a jelszólopási incidens, hanem amint később kiderült, magánál a jelszó hashek kódolt tárolásánál az úgynevezett SHA-1 algoritmust szimplán használva nem támaszkodtak olyan megbízható kiegészítő technikákra, mint például a jobban véletlenszerűsítő, ezáltal a feltörésnek jóval ellenállóbb úgynevezett Salted eljárás, megnövelve ezáltal a jelszó hash hosszát, és egyúttal a bonyolultságát is. A felhasználóknak akkoriban csak a gyors jelszó csere segíthetett a tűzoltásban.

A Linkedin blogbejegyzésében most arról olvashatunk, hogy három új elemet is használhatunk a nagyobb biztonság érdekében. Az első a bejelentkezéssel kapcsolatos kontroll. Ha például otthonról belépünk, de nem vagyunk biztosak abban, hogy egy másik, például a munkahelyi gépünkön kijelentkeztünk-e vagy valaki megszerezte az accountunkat és a világ másik felén épp a nevünkben garázdálkodik. Ez mostantól könnyen ellenőrizhető, ha a settings beállítások közül a "click on See where you are logged in" menüpontra kattintunk.

Ha itt egzotikus országok, ismeretlen IP címek, szokatlan böngésző kliensek nevei jelennek meg, akkor gáz van, azonban a mellékelt kép ha valaki éppen Londonban dolgozik, akkor egy teljesen normál helyzetről tudósít bennünket. Arra is van lehetőség, hogy az elfelejtett kilépés vagy gyanús aktivitás miatti bejelentkezéseket távolról megszakítsuk és őket kiléptessük. Ha ez a helyzet, akkor az azonnali jelszó csere mellett érdemes a két faktoros autentikáció lehetőségét is igénybe venni.

Az is egy hasznos feature, hogy a jelszóváltoztatásról külön e-mailes emlékeztető értesítést lehet kérni, ki mikor, milyen böngésző, milyen operációs rendszer alól, milyen IP címről és földrajzilag nagyjából honnan kezdeményezte mindezt.

Végül arról is tájékoztatják a felhasználókat, hogy lehetőség van a saját adataink mentésére is. Ha ezt kezdeményezzük, akkor amint a rendszer sikeresen összegyűjtötte az adatokat, arról e-mailben kapunk értesítést és ezután belépve megkapjuk a mentéshez tartozó letöltési linket.

Összességében, ahogy Graham Clueley is megfogalmazta a Welivesecurity oldalon - ezek egyike sem űrtechnológia, ennek ellenére azért mégis jó látni, hogy a fejlesztők mostanra súlyt helyeztek a felhasználói biztonság emelésére. Már csak használnia kellene mindenkinek...

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr716672599

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Bélabácsi 2014.09.06. 10:04:38

"click on see ..."

Nem találom a settingsben sehol - se a "Profile", se a "Communications", a "Groups..." ill. az "Account" alatt sincs.

Magyarisztán még nincs aktiválva ezek szerint ?