No des tu contraseña de Twitter a otros servicios

Ya hemos hablado en Genbeta alguna vez de los problemas de dar la contraseña de nuestros servicios a otros sitios y el mal uso que pueden hacer de ella en caso que lo hagamos.

Recientemente han aparecido bastante servicios que funcionan sobre Twitter y que nos habilitan funciones que el sitio original no permite, como puede ser publicar en dos cuentas al mismo tiempo. Tal como funciona Twitter, en este momento es imprescindible dar nuestro usuario y contraseña a esos servicios para que funcionen correctamente.

El problema es que una vez se lo hemos dado puede resultar imposible recuperar el control sobre nuestra cuenta, al menos hasta que desde Twitter modifiquen el control de acceso que tienen ahora, basado en cookies. Cuando accedemos a la página (o cuando lo hace uno de esos servicios) y nos identificamos con el usuario y la contraseña, Twitter devuelve una cookie que podemos usar a partir de ese momento.

Pero esa cookie tiene un tiempo de caducidad muy largo y el problema principal es que no se invalida al cambiar la contraseña. Por tanto, mientras disponga de la cookie, el servicio puede seguir accediendo a nuestra cuenta de Twitter.

Aun peor, si la aplicación es realmente maliciosa podría incluso dejarnos sin cuenta. Solo tendría que cambiar la dirección de correo con la que estamos registrados en el servicio y pedir un reseteo de contraseña, activando la nueva al recibir ese correo.

Lo ideal sería que Twitter ofreciera una API que funcionara mediante claves que solo sirvieran para eso y no para acceder también desde la página web. Mientras tanto, la solución recomendada sigue siendo no dar nuestra contraseña a ningún servicio externo.

Vía | Brian Shaler.