Passwörter ändern! Twitter hat Passwörter im Klartext geloggt
Twitter hat in einem internen Log Passwörter seiner User im Klartext gespeichert. Für Twitter-User heißt das: Es steht mal wieder eine Welle von Passwortänderungen an. Zwei Maßnahmen bringen mehr Sicherheit für Eure Accounts.
Üblicherweise werden Passwörter nicht im Klartext gespeichert, sondern nur als Hash verarbeitet. Zwar kann das Passwort wiederholbar in den Hashwert überführt werden, der umgekehrte Weg ist aber nicht möglich. Daher ist diese Verschlüsselungsmethode besonders geeignet, um Passwörter in Datenbanken zu speichern und beim User-Login abzugleichen.
Ein Fehler seitens Twitter habe dazu geführt, dass Passwörter im Klartext in einem internen Log verzeichnet wurden - der ganze Aufwand zur Sicherung von Passwörtern also umsonst war. Der Fehler sei inzwischen behoben und die Passwörter seien gelöscht worden. Eine Untersuchung habe keine Hinweise auf einen Missbrauch der Passwörter ergeben.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 3. Mai 2018
Twitter empfiehlt seinen Usern, das Account-Passwort zu ändern. Das gelingt in den Account-Einstellungen. Idealerweise verwendet Ihr ein neues Passwort, und dieses auch nur für Twitter. Ein Passwortmanager hilft, für jeden Dienst ein individuelles Passwort zu generieren.
Für zusätzliche Sicherheit sorgt die Anmeldebestätigung - so nennt Twitter die Zwei-Faktor-Authentifizierung. Damit sendet Euch Twitter einen Code via SMS oder Ihr nutzt eine Authenticator-App. Aktiviert die Einstellung und ein Accountdieb kann sich nicht in Euren Account einloggen, sollte er nur das Passwort kennen.
Wer das betroffene Passwort auch bei anderen Diensten verwendet, sollte es dort ebenfalls ändern. Auch für andere Dienste gilt: Zwei-Faktor-Authentifizierung solltet Ihr stets aktivieren.
Wurdet Ihr schon einmal Opfer eines Account-Angriffs?
Quelle: Twitter
Coole Sache, endlich hatte ich nach über nem Jahr mal wieder nen Grund mich bei Twitter einzuloggen, auch wenn es nur war um das Passwort zu ändern....
Ich dachte eigentlich Donald Trump hätte den Laden gekauft als Postdienst für seine Aussenpolitik ?
Ich hatte mich da mal vor Jahren angemeldet wegen der Teilnahme an einer Protestwelle gegen eine EU Verordnung und die war am Ende so sinnlos wie das gesamte Twitter....
Vielleicht sollten die das tritzdem öfter machen um die Nutzerstatistik zu heben.
Und schon ist mein Account auf Twitter Geschichte.
Extrem peinlich. Das Klartext loggen von Passwörter ist ein alberner Anfänger-Fehler.
Zur Info: Die Überführung von Hashes in Passwörter erfolgt über Rainbow-Tables (oder Brute Force Attaken). Das sind große Datenbanken, in denen Passwort und Hash gespeichert sind.
Das ist ja eine Überraschung, ich dachte, dass Twitter ein besseres Sicherheitssystem hat.
Die pauschale Aussage: "Zwar kann das Passwort wiederholbar in den Hashwert überführt werden, der umgekehrte Weg ist aber nicht möglich. Daher ist diese Verschlüsselungsmethode besonders geeignet, um Passwörter in Datenbanken zu speichern"
ist im Grundsatz nicht falsch, suggeriert aber eine Sicherheit, die es an der Stelle nicht gibt.
Rein technisch ist es nicht möglich aus einem Hashwert das Passwort zu errechnen. Das stimmt. Es ist aber sehr wohl möglich per Bruteforce das passende Passwort zum Hashwert zu finden. Es gibt mittlerweile auch Datenbanken im Netz, die für Milliarden von Zeichenkombinationen die dazugehörigen MD5 bzw. SHA1 Werte gespeichert haben. Pure MD5 und SHA1 Hashes sind immer noch sehr beliebt, auch bei großen Sites. Wer also im Besitz des Hashwertes ist, kann u.U. doch sehr schnell an das Passwort kommen.
Die SIcherheit hängt also stark vom verwendeten Algorithmus und Zusätzen wie Salts etc. ab.
Twitter verwendet bcrypt, wie sie in dem Blogpost schreiben. Kollisionen sind natürlich möglich, insofern ist systembedingt keine perfekte Sicherheit möglich. Problematisch werden die Kollisionen aber vor allem dann, wenn die Daten aus der Passwortdatenbank abfließen. Das ist ja in diesem Fall aber offenbar nicht passiert.
Warum eigentlich speichert Twitter die Paßwörter? Wer so was tut, braucht sich nicht zu wundern...
Die Passwörter sind - laut Twitter - aus Versehen in einem Log gelandet, wo sie natürlich nie hätten erscheinen dürfen. Sonst werden sie üblicherweise gehasht in Datenbanken gespeichert, sonst könnte Twitter sie beim Login ja nicht mehr abgleichen.
Auch wenn die Zwei-Faktor-Authentifizierung manchmal nervig sein kann, bin ich froh diese überall (wo es geht) aktiviert zu haben.