Topthemen

Passwörter ändern! Twitter hat Passwörter im Klartext geloggt

AndroidPIT twitter 134
© nextpit

Twitter hat in einem internen Log Passwörter seiner User im Klartext gespeichert. Für Twitter-User heißt das: Es steht mal wieder eine Welle von Passwortänderungen an. Zwei Maßnahmen bringen mehr Sicherheit für Eure Accounts.

Üblicherweise werden Passwörter nicht im Klartext gespeichert, sondern nur als Hash verarbeitet. Zwar kann das Passwort wiederholbar in den Hashwert überführt werden, der umgekehrte Weg ist aber nicht möglich. Daher ist diese Verschlüsselungsmethode besonders geeignet, um Passwörter in Datenbanken zu speichern und beim User-Login abzugleichen.

Ein Fehler seitens Twitter habe dazu geführt, dass Passwörter im Klartext in einem internen Log verzeichnet wurden - der ganze Aufwand zur Sicherung von Passwörtern also umsonst war. Der Fehler sei inzwischen behoben und die Passwörter seien gelöscht worden. Eine Untersuchung habe keine Hinweise auf einen Missbrauch der Passwörter ergeben.

Twitter empfiehlt seinen Usern, das Account-Passwort zu ändern. Das gelingt in den Account-Einstellungen. Idealerweise verwendet Ihr ein neues Passwort, und dieses auch nur für Twitter. Ein Passwortmanager hilft, für jeden Dienst ein individuelles Passwort zu generieren.

Für zusätzliche Sicherheit sorgt die Anmeldebestätigung - so nennt Twitter die Zwei-Faktor-Authentifizierung. Damit sendet Euch Twitter einen Code via SMS oder Ihr nutzt eine Authenticator-App. Aktiviert die Einstellung und ein Accountdieb kann sich nicht in Euren Account einloggen, sollte er nur das Passwort kennen.

Wer das betroffene Passwort auch bei anderen Diensten verwendet, sollte es dort ebenfalls ändern. Auch für andere Dienste gilt: Zwei-Faktor-Authentifizierung solltet Ihr stets aktivieren.

Wurdet Ihr schon einmal Opfer eines Account-Angriffs?

Quelle: Twitter

Die besten Smartphones unter 300 Euro

  Die Wahl der Redaktion Alternative Beste Kamera unter 300 € Bestes Design Beste Software-Unterstützung
Produkt
Bild Motorola Edge 40 Product Image Xiaomi Poco X5 Pro 5G Product Image Xiaomi Redmi Note 13 5G Product Image Honor 70 Product Image Samsung Galaxy A34 Product Image
Bewertung
Test: Motorola Edge 40
Test: Xiaomi Poco X5 Pro 5G
Test: Xiaomi Redmi Note 13 5G
Test: Honor 70
Test: Samsung Galaxy A34
Preisvergleich
Zu den Kommentaren (9)
Hans-Georg Kluge

Hans-Georg Kluge
Redakteur

Hans-Georg schreibt seit Mai 2016 über Apps, Hardware und andere Neuigkeiten aus dem Android-Universum. Derzeit ist er mit seinem Galaxy S7 immer auf der Suche nach der neusten App, mit der er sich die Zeit vertreiben kann. Aber ist denn alles Android was glänzt? Nö, denn er hat auch so manche Stunde mit Windows Phone und iOS verbracht. Dennoch ist er immer zu Android zurückgekommen, weil ihm die Plattform die meisten Möglichkeiten bietet.

Zeige alle Artikel
Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
9 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Thomas H. 56
    Thomas H. 05.05.2018 Link zum Kommentar

    Coole Sache, endlich hatte ich nach über nem Jahr mal wieder nen Grund mich bei Twitter einzuloggen, auch wenn es nur war um das Passwort zu ändern....

    Ich dachte eigentlich Donald Trump hätte den Laden gekauft als Postdienst für seine Aussenpolitik ?

    Ich hatte mich da mal vor Jahren angemeldet wegen der Teilnahme an einer Protestwelle gegen eine EU Verordnung und die war am Ende so sinnlos wie das gesamte Twitter....

    Vielleicht sollten die das tritzdem öfter machen um die Nutzerstatistik zu heben.


  • 25
    Gelöschter Account 05.05.2018 Link zum Kommentar

    Und schon ist mein Account auf Twitter Geschichte.


  • 41
    Karsten K. 04.05.2018 Link zum Kommentar

    Extrem peinlich. Das Klartext loggen von Passwörter ist ein alberner Anfänger-Fehler.

    Zur Info: Die Überführung von Hashes in Passwörter erfolgt über Rainbow-Tables (oder Brute Force Attaken). Das sind große Datenbanken, in denen Passwort und Hash gespeichert sind.


  • Ruslan Jo May 44
    Ruslan Jo May 04.05.2018 Link zum Kommentar

    Das ist ja eine Überraschung, ich dachte, dass Twitter ein besseres Sicherheitssystem hat.

    Joe F.


  • 44
    Gelöschter Account 04.05.2018 Link zum Kommentar

    Die pauschale Aussage: "Zwar kann das Passwort wiederholbar in den Hashwert überführt werden, der umgekehrte Weg ist aber nicht möglich. Daher ist diese Verschlüsselungsmethode besonders geeignet, um Passwörter in Datenbanken zu speichern"
    ist im Grundsatz nicht falsch, suggeriert aber eine Sicherheit, die es an der Stelle nicht gibt.

    Rein technisch ist es nicht möglich aus einem Hashwert das Passwort zu errechnen. Das stimmt. Es ist aber sehr wohl möglich per Bruteforce das passende Passwort zum Hashwert zu finden. Es gibt mittlerweile auch Datenbanken im Netz, die für Milliarden von Zeichenkombinationen die dazugehörigen MD5 bzw. SHA1 Werte gespeichert haben. Pure MD5 und SHA1 Hashes sind immer noch sehr beliebt, auch bei großen Sites. Wer also im Besitz des Hashwertes ist, kann u.U. doch sehr schnell an das Passwort kommen.

    Die SIcherheit hängt also stark vom verwendeten Algorithmus und Zusätzen wie Salts etc. ab.

    Karsten K.


    • Hans-Georg Kluge 27
      Hans-Georg Kluge 04.05.2018 Link zum Kommentar

      Twitter verwendet bcrypt, wie sie in dem Blogpost schreiben. Kollisionen sind natürlich möglich, insofern ist systembedingt keine perfekte Sicherheit möglich. Problematisch werden die Kollisionen aber vor allem dann, wenn die Daten aus der Passwortdatenbank abfließen. Das ist ja in diesem Fall aber offenbar nicht passiert.


  • 13
    Uwe 04.05.2018 Link zum Kommentar

    Warum eigentlich speichert Twitter die Paßwörter? Wer so was tut, braucht sich nicht zu wundern...


    • Hans-Georg Kluge 27
      Hans-Georg Kluge 04.05.2018 Link zum Kommentar

      Die Passwörter sind - laut Twitter - aus Versehen in einem Log gelandet, wo sie natürlich nie hätten erscheinen dürfen. Sonst werden sie üblicherweise gehasht in Datenbanken gespeichert, sonst könnte Twitter sie beim Login ja nicht mehr abgleichen.


  • Sophia Neun 75
    Sophia Neun 04.05.2018 Link zum Kommentar

    Auch wenn die Zwei-Faktor-Authentifizierung manchmal nervig sein kann, bin ich froh diese überall (wo es geht) aktiviert zu haben.

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel