Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NotizTwitter: Passwörter lagen im Klartext im Log, Wechsel empfohlen
Auch Twitter speichert die von Anwendern gewählten Passwörter eigentlich nicht im Klartext, sondern als Hashwert ab. Eigentlich. Denn wie der Konzern mitteilt, sei es bei der Umwandlung des Passwortes durch einen Fehler dazu gekommen, dass das Passwort doch im Klartext in internen Log-Dateien gespeichert wurde.
Na herzlichen Glückwunsch. 330Millionen Passwörter im Klartext bei Twitter.
Das sollte eigentlich mehr als eine Randerwähnung in den Notizen bekommen.
Hab direkt meinen Account gelöscht...
Liest sich nach Vorbildlichem Handeln nach absolut dämlichen Fehler.
Bietet Twitter eigentlich inzwischen 2FA via Authenificator App an oder wollen die immer noch an die Telefonnumer?
Und etwas OT: Was war eigentlich bei GitHub? Hatten die auch ein Problem ober habe ich neulich nur eine gut gemachte Phisching-Mail bekommen?
Falls ersteres: Ist internationale Woche der Passwortversauerrei?
Liest sich nach Vorbildlichem Handeln nach absolut dämlichen Fehler.
Bietet Twitter eigentlich inzwischen 2FA via Authenificator App an oder wollen die immer noch an die Telefonnumer?
Und etwas OT: Was war eigentlich bei GitHub? Hatten die auch ein Problem ober habe ich neulich nur eine gut gemachte Phisching-Mail bekommen?
Falls ersteres: Ist internationale Woche der Passwortversauerrei?
Twitter bitte alle seine Nutzer das Passwort zu wechseln. Das heißt aber nicht automatisch das alle Nutzer auch betroffen waren.
Ggf. ist da eine Liste mit einem Haufen Passwörtern und da man nicht nachverfolgen kann wem die gehören sollen alle das Passwort ändern.
Interessant wär auch, in welchem Zeitraum die Daten in den Logfiles lagen.
Wenn die gestern mal das Debug Logging eingeschaltet haben und die Passwörter gesehen haben, ist das Missbrauch-Risiko relativ gering.
Und dann kommen wieder so "gescheite" Menschen die ein 20+ stelliges PW wollen.
Bringt in solchen Fällen nichts. Aber dann den "dummen" User deswegen haten.
Naja, wenn das PW so umgangen werden kann...
Warum kommt jetzt kein "gescheiter" Mensch und fordert die Leute auf, ein "sicheres" PW zu nehmen.
Wo seid ihr?
Hallo?
...
Aha. Wer Passwörter im Klartext speichert, kann also im Nachhinein "vorbildlich" handeln? Schade, dass die DSGVO noch nicht gilt EIn Geldbuße von 2% des weltweiten Jahresumsatzes hätte hier sicherlich erzieherisch gewirkt.
Komplexe Passwörter sind wichtig für den Fall dass die IT (halbwegs) sauber arbeitet und die Angreifer nur die verschlüsselten Passwörter abgreifen und diese nicht mit Wörterbuchattacken oder in realistischer Zeit mit Brute Force knacken können.
Wenn so etwas wie hier passiert, ist jedes Passwort gefährdet. Klar. Aber dafür kann der Nutzer nichts. Wohl aber für das leichte Entschlüsseln seines unterkomplexen Passworts. Und ein Fall wie hier tritt m.E. seltener auf, als dass verschlüsselte PW geklaut werden.
Anders gesagt: nur weil man weißt, dass Türschlösser manchmal Fehlfunktionen haben oder der Schlüsseldienst ein Schloss knacken kann, heißt das doch nicht, dass man grundsätzlich seine Tür nicht abschließen braucht?
Und da für diesen Fall hier der Nutzer nichts kann, hat die grundsätzlich richtige Forderung nach komplexen Passwörtern hier nicht wirklich was zu suchen.
CrunchTheNumber schrieb:
Aha. Wer Passwörter im Klartext speichert, kann also im Nachhinein "vorbildlich" handeln.
Da steht nirgendwo was davon, dass alle PW im Klartext waren. Sind eher nur neue und geänderte PW betroffen. Bereits gespeicherte Hashes werden und können wohl kaum erneut umgewandelt werden.
