Password


Странно, что в 2016 году, когда кругом уже во всю внедряются системы идентификации пользователя по биометрическим данным, нам по-прежнему приходиться держать в голове многочисленные логины и пароли.


Вчера я столкнулся с тем, что на одном из своих устройств мне пришлось сбросить пароль от социальной сети Twitter. Обычная вроде бы процедура, но каково было мое удивление, когда я обнаружил, что мой аккаунт спокойно продолжал функционировать на всех мобильных устройствах, где он был введен до этого ранее. Касалось это как официального приложения, так и стороннего Android-клиента Talon.


Почему меня это забеспокоило? Если представить гипотетическую ситуацию, когда мой смартфон или компьютер оказываются в руках злоумышленников, и им удается его разблокировать, то смена пароля от Twitter никак не помешает им получить доступ к моему аккаунту и написать от моего лица сообщения моим подписчикам или друзьям.


Не поверив в такую безалаберность разработчиков Twitter, которые не отзывают разрешения для приложений и не разлогинивают пользователя после сброса пароля, я отправился в настройки сервиса, чтобы посмотреть можно ли это сделать вручную.


Password

И действительно, разрешение для конкретных приложений можно отозвать, через соответствующую настройку в меню, но сделано это не для безопасности, а на случай, если какой-то сервис вдруг начнет спамить в вашу ленту сообщения от вашего имени – количество новых подписчиков, сколько километров ты сегодня пробежал, где поел и так далее. Найдя в списке Talon, мне удалось отключить свой аккаунт на Android-смартфоне.  



Password

В настройках также присутствует пункт  «Подключенные устройства», который фиксирует установку и запуск официального приложения Twitter, но делает это явно криво и неточно. Здесь же можно просмотреть последние входы в сервис от вашего имени, с указанием приложения или сервиса, даты, IP-адреса и страны. Отключить устройство от аккаунта самостоятельно невозможно. Очевидно, что для этого необходимо обращение в техническую поддержку.


Password

Ради спортивного интереса, я попробовал сбросить пароли от своих аккаунтов в других сервисах и посмотреть, как поведут себя мобильные приложения. Вот что у меня получилось:


– Facebook предложил на выбор два варианта: поменять пароль, оставив всё как есть или поменять пароль, разлогинив аккаунт со всех подключенных устройств. Самый логичный и понятный вариант для пользователя.


– Instagram поменял пароль и сам сбросил аккаунт на всех устройствах.


– ВКонтакте, как и Instagram, сбросил аккаунт на всех устройствах. 


Вывод из этой истории довольно простой – некоторые разработчики безалаберно подходят к вопросам авторизации пользователя в своих приложениях. Обязательно используйте встроенные в мобильные устройства средства безопасности – графические ключи, пароли и сканеры отпечатков пальцев. Это поможет на случай потери устройства и вы хотя бы будете знать, что никто не воспользуется вашими аккаунтами в социальных сетях в своих интересах.

Читать далее