Passwort-Risiko bei Twitter

Passwörter im Klartext in internen Logs gespeichert

Twitter meldet aktuell in einem Mailing an seine Nutzer, dass Passwörter gefährdet seien. Nutzer sollten das bei Twitter verwendete Passwort ändern und dieses, falls auch bei anderen Diensten verwendet, auch dort ersetzen.

Fehler im Hashing-Prozess

Aus Sicherheitsgründen werden von Nutzern vergebene Passwörter nach aktuellen Industriestandards nicht im Klartext gespeichert – stattdessen werden in einem Verschlüsselungsprozess sogenannte Hashes gebildet, womit die Passwörter zwar noch mit der Nutzereingabe beim Login auf richtig/falsch abgeglichen, aber nicht eingesehen werden können.

Auch Twitter verwendet nach eigenen Angaben solche Hashing-Prozesse, allerdings trat der Fehler wohl noch vor der Umwandlung ein und Passwörter wurden im Klartext in interne Log-Dateien geschrieben.

Leaks unwahrscheinlich aber möglich

Twitter gibt an, dass die Klartext-Passwörter nur einem kleinen Teil von Mitarbeitern des Unternehmens zugänglich gewesen wären und es sich nicht um einen Hack handele, die Schwachstelle wurde intern bemerkt. Das Unternehmen informiert aber vorbildlich über die theoretische Möglichkeit der Offenlegung und empfiehlt, bei Twitter verwendete Passwörter zu ändern.

Passwort überall ändern

Nutzer, welche ihr Twitter-Passwort auch bei anderen Diensten verwenden, sollten sich der Möglichkeit bewusst werden, dass Angreifer sich diese Mehrfachverwendung zu Nutze machen und sich über ein bei einem Dienst gestohlenes Passwort Zugang zu anderen Diensten des Nutzers verschaffen könnten.

Passwörter sollten im Fall der Mehrfachverwendung deswegen nicht nur bei dem von der Sicherheitslücke betroffenen Dienst, sondern überall wo das Passwort zum Einsatz kommt, geändert werden. Allgemein empfiehlt es sich dringend, Passwörter in keinem Fall mehrfach zu verwenden sondern auf zufällig generierte, einmalige Passwörter pro Dienstleister zu setzen.

Zusammenfassung

Vorliegende Informationen

  • Passwörter bei Twitter sind als potentiell kompromittiert anzusehen, Änderung empfohlen
  • Offizielle Meldung
    Twitter Support 03.05.2018

Artikel vom
  04.05.2018 13:00 Uhr

Ergänzungen? Korrekturen?
  hello@ndve.de

Andere aktuelle Artikel

16.05.2018 | Efail: Panik um E-Mail-Verschlüsselung
PGP ist nicht kaputt!
  Verschlüsselungsverfahren

"E-Mail-Verschlüsselung, PGP & Co ... da war doch irgendwas, das ist doch sowieso nicht sicher" – bitte behalten Sie das nicht im Hinterkopf.

Lesen Sie im Artikel, warum und wie Sie trotz der aktuellen Warnungen weiterhin sicher E-Mails verschlüsseln können.

11.05.2018 | Sicherheitsupdate
Firefox   ALARM
  Internet-Browser

Mozilla hat bereits am 09.05.2018 die Veröffentlichung von neuen Versionen für Firefox und Firefox ESR bekannt gegeben.

Details zu den veröffentlichten Lücken erfahren Sie im Artikel.

11.05.2018 | Sicherheitsupdate
Google Chrome   ALARM
  Internet-Browser

Google veröffentlicht eine neue Chrome-Version und behebt damit u. a. eine kritische Sicherheitlücke im beliebten Browser.

Das Update sollten Sie sofort und ohne Verzögerung einspielen, im Artikel erfahren Sie die Details.