Twitter speicherte Passwörter im Klartext

TwitterWie Twitter nun selbst verkündete gab es offenbar einen Bug in deren System aufgrund dessen die Passwörter der User im Klartext in Log-Dateien gespeichert wurden, Twitter rät daher allen ca 330 Millionen Nutzern dringend ihre Passwörter zu ändern. Die Tatsache, dass man allen Nutzern zur Änderung ihres Passwortes rät, lässt vermuten, dass es diesen Bug nicht nur für kurze Zeit gab, so dass theoretisch jeder betroffen sein könnte, nicht nur, wer sich in letzter Zeit neu eingeloggt hat.

Wie es heisst seien die Log-Dateien, welche die Passwörter enthielten, aber bereits gelöscht worden und es gebe keinen Hinweis darauf, dass Außenstehende Zugriff darauf hatten, theoretisch könnten jedoch natürlich Mitarbeiter von Twitter diese in die Hände bekommen haben, und je nachdem um wessen Account es sich handelt, dürften diese Zugangsdaten ja durchaus einen gewissen Wert haben.

Grundsätzlich speichert Twitter (wie so ziemlich jede Webseite, bei der man sich anmelden / einloggen kann) Passwörter natürlich nur verschlüsselt in seinen Datenbanken, bei diesem Bug handelte es sich offenbar aber um Log-Dateien, ob das “reguläre” Logs waren oder ob sie jemand bewusst erstellt hat (wenn auch nicht unbedingt böswillig, möglicherweise wollte man damit nur ein anderes Problem finden) verriet Twitter aber nicht.

Auf jeden Fall sollte man aber, wenn man denn Twitter nutzt, nun sein Passwort ändern, falls man das gleiche Passwort noch auf anderen Seiten benutzt (was man übrigens nicht machen sollte, u.a. wegen eben solcher Fälle), dann sollte man diese dort ebenfalls ändern, und zwar am besten diesmal dann nicht überall das gleiche verwenden.

Falls man nur aus “Bequemlichkeit” bisher überall das gleiche Passwort benutzt, gibt es dafür übrigens eine imho sehr gute Lösung, nämlich sogenannte “Passwort Safes” wie zum Beispiel KeePass, welches ich selber auch nutze (gibt natürliche auch noch andere), dort muss man sich dann nur noch ein Passwort merken, das Masterpasswort, und den Rest übernimmt das Programm. Wenn man die Datenbank von KeePass auf einem Cloud-Drive (wie z.B. Google Drive, Dropbox oder OneDrive) speichert, dann kann man darauf übrigens auch jederzeit problemlos von verschiedenen Rechnern zugreifen ohne die Passwörter auf jedem einzeln speichern zu müssen.

Zur Generierung eines sicheren Passwortes kann man dann z.B. einen der vielen im Netz zu findenden Passwort-Generatoren benutzen, ich habe mir dazu beispielsweise auch mal so einen, ganz simplen, Passwort Generator erstellt, bei dem man sich nur ein Master-Passwort merken muss und dann daraus, sowie aus dem Usernamen und der Webseite, ein Passwort generiert wird.

Wer sich für den Code interessiert (oder den Generator lieber lokal benutzen will, ggf mit eigenem Salt z.B.), der kann sich den übrigens auch hier herunterladen (der Salt ist dort natürlich anders als bei der Live-Version). Diesen Generator kann man natürlich auch benutzen um sich “irgendein” Passwort zu generieren, einfach die 3 Felder ausfüllen (mit was auch immer), die Länge wählen und auf “Passwort generieren” klicken.

Tags: , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.