Twitters lösenordsfel visar att vi förtjänar bättre säkerhet.

Just nyligen drabbades Twitter av hackare som lyckades få tag på vissa användardata inklusive ”hashade” lösenord för några hundra tusen användare. Det var möjligt för hackare att köra lösenordssprickningsprogram för att jämföra miljoner ordboksord och alternativa stavningar med listan över hashade lösenord för att se om någon matchade.

Till Twitter för att tacka alla kontaktades snabbt och en återställning av filtlösenord återställdes för alla påverkas och tvingar användarna att ställa in nya lösenord om hackarna lyckades räkna ut vad deras lösenord var. Även om detta å ena sidan visade Twitters proaktiva tillvägagångssätt för säkerhetsproblem, visar det också en viktig sårbarhet i hur vi skyddar våra privata data - lösenordet.

Vi litar på lösenord hela dagen, varje dag. Från vårt iTunes-konto till webbmail till PC-nätverket på jobbet använder vi kombinationer av användarnamn och lösenord för att hålla våra digitala liv under kontroll. Jag säger digitala liv, men det finns alltmer det tunnaste membranet mellan dessa och våra faktiska, ”riktiga” liv. Om någon skulle hitta en anteckningsbok med alla dina lösenord skrivna på dess sidor, kunde de förstöra din ekonomi, ditt jobb och mycket av ditt sociala liv innan du kunde säga mors flicknamn.

Det är över femtio år sedan det första datorlösenordssystemet skapades och ungefär fyrtio sedan metoden att ”hashing” lösenord för att hålla dem säkra först implementerades. Tyvärr har tekniken inte gått vidare mycket därifrån.

Problemet med lösenord, som alla långvariga IT-helpdesk-drönare kommer att berätta för dig från botten av glaset, är att de antingen är för lätta att gissa eller för säkra att komma ihåg. Standardråden för att skapa ett lösenord går så här:

• använd inte riktiga ord
• använd inte personlig information (mammas flicknamn, namnet på ditt första husdjur) eftersom det kan gissas eller upptäckas.
• använd siffror och icke-alfanumeriskt tecken där det är möjligt

Allt är bra råd inför det, men egentligen är de bara tre sätt att säga ”gör ditt lösenord så svårt att komma ihåg dig måste skriva ner det på en Post-It och fästa det på skärmen på skärmen ”, vilket är synd eftersom det fjärde rådet är ständigt

• skriv aldrig ditt lösenord, särskilt på en Post-It som sitter fast på skärmen på skärmen

Ett annat skrynkligt problem med lösenordet är att "lätt att gissa" inte betyder att man kan gissa. De flesta lösenordssystem fungerar med en enkelriktad algoritm. Du kör ett lösenord genom det och det skapar en ”hash” - ett förvrängt utseende av virvlar. Endast ditt lösenord skulle skapa den hash genom att gå igenom algoritmen, men du kan inte använda hash för att ta reda på vad lösenordet är. Det är en enkelriktad gata.

Ett sätt för en hackare att närma sig detta problem är något som kallas en 'ordlistaattack'. De får tag på filen med hashade lösenord (lagras ofta relativt utomhus på grund av hur inloggningskoden behöver åtkomst till dem) och använd programvara för att köra tusentals ord genom algoritmen tills de hittar en som matchar en av hashes. Hastigheten hos moderna processorer innebär att det är möjligt att gå igenom flera kompletta ordböcker i flera språk, plus felstavningar och "smarta" förvirringar som att byta "e" mot "3" i en relativt kort tid.

Alla ögonbollar och fingertoppar

Om lösenord är så felaktiga, varför använder vi dem? Det har varit många föreslagna ersättningar för lösenordet under de senaste femtio åren. Biometri verkar som en lovande väg - om problemet ligger i att identifiera en person så är det verkligen unikt attribut som fingeravtryck, en persons irismönster eller till och med deras DNA kan vara bättre än en hemlighet nyckelord. En ny idé handlar om att använda en persons hjärtslag för att skapa ett unikt mönster.

Tyvärr har biometri en allvarlig brist - de förlitar sig på att de inte kan reproduceras. Om någon skulle räkna ut ett sätt att kopiera dina unika attribut är spelet klart. Detta har visat sig vara möjligt. Du kan fejka ett fingeravtryck med ett avtryck i gelatin taget från ett latent tryck på ett glas. I extrema fall kan du alltid klippa av den kroppsdel ​​som krävs för att vifta framför en sensor.

Värre är att när din biometri har äventyrats är de omöjliga att ändra. Du kan komma på ett nytt lösenord, men att tänka på ett nytt finger kommer du ingenstans.

Andra system innefattar användning CAPTCHA att kryptera ett svårt lösenord med ett enkelt eller till och med analysera ditt beteende från röstavtryck till gångigenkänning (rytmen på din promenad) för att bevisa att du är den du säger att du är. Tyvärr är dessa antingen alltför komplicerade eller obevisade. De kan inte bara vara knäckbara utan också lätt.

Nyckelringar eller ID-kort är ett annat alternativ, men dessa kan gå förlorade eller stulas och att få dem att falla i händerna på en tjuv kan vara katastrofalt.

Det finns ett citat som tillskrivs Winston Churchill som säger: "Demokrati är den värsta regeringsformen, förutom alla de andra former som har prövats." Det är samma sak med lösenord. Ofullständig, men bäst på vad de gör. Vad som behövs för att göra dem bättre.

Att något är tvåfaktors autentisering. När du loggar in med användarnamn och lösenord utmanas du med en kod som du måste svara på och använder någon programvara för att generera rätt svar.

Google kommer redan att låta dig ställa in detta för Gmail och kommer till och med att göra utmaningen / svarsdelen för dig och texta dig rätt svar för att skriva in. Om du föredrar kan du använda en app för Android eller iOS för att generera det unika svaret istället.

Denna typ av utmaning / svar autentisering är riskabelt på egen hand - trots allt kan du ha din telefon stulen och vara upp längs bäcken - men i kombination med användarnamn / lösenordskombination ger det ett extra lager av autentisering. Avgörande, en som är svår för en hacker som kör en ordbokattack från sin källare att reproducera.

Google erbjuder redan detta, men inte som standard *. Andra webbplatser borde också. Du kanske inte tror att du behöver tvåfaktorautentisering på en webbplats som Twitter, men att ge någon tillgång till ett fragment av din identitet kan få oväntade konsekvenser. Någon som imiterar dig på en webbplats kan hjälpa dem att socialt konstruera information från dig eller dina vänner som kan få dem tillgång till andra, mer avgörande data.

Det enda som hindrar tvåfaktorautentisering från att starta är kostnaden för att implementera den och användarutbildning om lösenordssårbarheter. Det senare kommer tyvärr att bli mer utbrett eftersom fler webbplatser hackas och lösenord omarbetas. Det förstnämnda borde vara något som vi kräver som kunder. Kanske inte för varje webbplats utan för e-post, e-handel, dejtingsajter och alla sociala medier som vi bryr oss om bör vara ett alternativ. Det finns tecken på att Twitter planerar att öka och gå med i Google i kampen för bättre inloggningssäkerhet, men hur är det med Yahoo Mail, Facebook, Microsoft och alla andra webbplatser som vi litar på?

Den något faustiska förhandlingen som vi gör med gratis webbtjänster är detta - du ger oss en användbar tjänst, vi ger dig information om oss för att bli pengar. Genom att göra det litar vi på webbplatser att ta hand om den informationen och det är dags att fler företag tar detta ansvar på allvar.

Har du någonsin hackats? Låt oss veta dina erfarenheter i kommentarerna.

(* du måste gräva i ditt konto inställningar och vi rekommenderar att du gör det.)