Passend zum diesjährigen World Password Day gibt es eigentlich jährlich von mir Belehrungen im Freundes-, Kunden- und Bekanntenkreis sowie den üblichen Artikel, wie im allgemeinen die eigene Sicherheit im Netz zu erhöhen ist. Ich finde, man kann das Thema nicht groß genug aufhängen und die Zeiten, wo man ein Passwort für alle Dienste genutzt hat, sollten heute vorbei sein – ein Passwort-Manager kann Euch alle Arbeit abnehmen. Doch das ist ein anderes Thema, denn den Vogel an diesem 3. Mai 2018 hat sprichwörtlich Twitter mit einer sicherheitstechnischen Katastrophenmeldung abgeschossen!

Ob man jetzt Twitter mag oder nicht oder es generell nutzt, sei jedem selbst überlassen. Ich bin da privat ebenso unterwegs wie im Rahmen dieses Blogs (letzteres automatisiert) und habe da meinen Workflow entwickelt, Nachrichten zu lesen und meine Meinung (mehr oder weniger gewollt) kundzutun. Also eine prima Informationsbasis, auch in Sachen meiner favorisierten Hersteller und Produkte. Twitter funktioniert, auch wenn es längst nicht mehr die 140 Zeichen-Grenze gibt, die das “short but sweet” mal so attraktiv machten. Aber auch das ist ein anderes Thema. Die Meldung von Twitter aus offizieller Sicht lautete zumindest so:

Wer sich nicht durch die englische Meldung wühlen wollte, wird – mit ein, zwei Tagen Verspätung – auch eine Mail des Kurznachrichtendienstes im E-Mail-Postfach gehabt haben. Konsequenz 1: Ändert schnellstmöglich Euer Kennwort. Konsequenz 2: Nutzt am besten auch hier wieder die Zwei-Faktor-Authentifizierung, um Euren Zugang zu Twitter weiter abzusichern. Warum Ihr das tun solltet, ist schlichtweg die Tatsache, dass die Kennwörter von etwa 330 Millionen Twitter-Konten durch einen Softwarefehler leider unverschlüsselt in einem Logfile gespeichert worden sind. Die sonst durch die bcrypt-Funktion verschlüsselten Daten sind durch besagten Bug somit lesbar hinterlegt worden, laut Twitter ist das aber eine reine Vorsichtsmaßnahme: Einen Hinweis auf eine Sicherheitsverletzung oder einen Missbrauch durch irgendjemanden gab es Unternehmensangaben zufolge immerhin nicht.

Technisch gesehen werden die Passwörter durch einen Prozess namens Hashing mit benannter Funktion namens bcrypt maskiert, die das eigentliche Passwort durch einen zufälligen Satz von Zahlen und Buchstaben ersetzen soll. Dies ermöglicht es der Technik des Microblogging-Dienstes, die jeweiligen Zugangsdaten zu überprüfen, ohne dasPasswort EIGENTLICH offenzulegen. Aufgrund des entdeckten Fehlers wurden Passwörter dann leider in ein internes Protokoll geschrieben, bevor der Hash-Prozess an sich abgeschlossen wurde und waren somit im Klartext verfügbar. Twitter selbst hat diesen Fehler gefunden, die Passwörter entfernt und eigenen Angaben zufolge Maßnahmen umgesetzt, um Fehler dieser Art zukünftig zu verhindern.

Kaspersky Wrong Password Behaviour

Schlußendlich hat man meiner Meinung nach sehr offen und direkt reagiert, aber das Timing hätte – aus tragischer Sicht – nicht besser respektive schlimmer sein können. Hier kann ich wieder die Brücke zum World Password Day schlagen, denn eine bessere Steilvorlage, seine Art und Weise, Kennwörter oder gebotene Sicherheitsmechanismen zu nutzen, kann es eigentlich nicht geben. Wäre es nicht so eklatant tragisch, müßte man über diesen Faux Pas von Twitter inklusive des wirklich passenden Timings fast lachen – was bei über 330 Millionen offengelegter Kennwörter aber keineswegs mehr lustig ist, sondern schlichtweg ein Desaster darstellt.

Wer also betroffen ist und noch nicht reagiert hat, sollte zuallererst sein (hoffentlich individuelles und nicht bei mehreren Diensten genutztes) Twitter-Kennwort ändern und eben die Zwei-Faktor-Authentifizierung in den Twitter-Einstellungen aktivieren. Wer bis dato auch noch keinen Passwort-Manager in Gebrauch hat, sei auch einmal angehalten, darüber nachzudenken – es gibt hier viele gute Lösungen, die Euch die Arbeit des Generieren, Verwalten und Ausfüllen von Passwörtern auf Webseiten abnehmen. Mit Diensten wie Enpass, LastPass, KeePass & Co. braucht man weder das Rad neu erfinden noch sich unnötiger und umständlicher Hilfsmittel bedienen. Warum das endlich mal flächendeckend und ausserhalb jeglicher individuellen Komfortzone getan werden sollte, hat dieser Fall am World Password Day 2018 – in Sachen Timing leider allzu passend – nur deutlich unterstrichen!

Share.

About Author

Stolzer Familienvater. Digital Native und chronischer Device-Switcher. Multimedia-Freak. UK-Fan, auch mit Brexit. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei LinkedIn. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

Leave A Reply

*

%d Bloggern gefällt das: