mboost-dp1

Twitter

Twitter opfordrer alle 330 millioner brugere til at skifte password

- Via newz.dk -

Alle Twitters mere end 330 millioner brugere vil blive mødt med en opfordring til at skifte password på det sociale medie.

Det sker efter en fejl i deres hashing-proces, der kort eksponerede kodeordene i klartekst, forklarer Twitter selv.

På grund af fejlen blev de ukrypterede passwords således gemt i en intern log.

Twitter har rettet fejlen selv og regner ikke med, at der er sket noget læk eller misbrug af brugernes passwords.





Gå til bund
Gravatar #1 - CBM
4. maj 2018 09:51
lol.. hmmm.... UPS? :)
Gravatar #2 - Ib Rehné
4. maj 2018 10:20
Det er noget vi ser oftere og oftere. Læk, fejlhåndtering af kodeord m.m. Lad os se om WebAuthn kan slå igennem som en succes ellers er der rigeligt med værktøjer i form af password managers til at håndtere stærke unikke kodeord. En password manager gør denne situation lidt ligegyldig og gør det let at skifte til et nyt kodeord.
Gravatar #3 - kgp43
4. maj 2018 10:28
"... der kort eksponerede kodeordene i klartekst"

Jeg forstår ikke hvordan dette er muligt.
Bliver kodeordene ikke gemt i krypteret form?

Det burde være et lovkrav, at websites oplyser hvordan vores data bliver håndteret - i stedet for den åndsvare cookie-lovgivning. Jeg ville føle mig mere sikker, hvis jeg viste hvilken standard, en given hjemmeside har anvendt til kryptering af mit kodeord (hvis overhovedet).
Gravatar #4 - CBM
4. maj 2018 11:08
Ib Rehné (2) skrev:
Det er noget vi ser oftere og oftere. Læk, fejlhåndtering af kodeord m.m. Lad os se om WebAuthn kan slå igennem som en succes ellers er der rigeligt med værktøjer i form af password managers til at håndtere stærke unikke kodeord. En password manager gør denne situation lidt ligegyldig og gør det let at skifte til et nyt kodeord.


Indtil den service du benytter som password manager lækker.. så skal du alligevel skifte igen


...næh... gør som jeg... bare brug passworded "Password-1234" til alting... Shhh...
Gravatar #5 - Ib Rehné
4. maj 2018 12:00
CBM (4) skrev:
Ib Rehné (2) skrev:
Det er noget vi ser oftere og oftere. Læk, fejlhåndtering af kodeord m.m. Lad os se om WebAuthn kan slå igennem som en succes ellers er der rigeligt med værktøjer i form af password managers til at håndtere stærke unikke kodeord. En password manager gør denne situation lidt ligegyldig og gør det let at skifte til et nyt kodeord.


Indtil den service du benytter som password manager lækker.. så skal du alligevel skifte igen


...næh... gør som jeg... bare brug passworded "Password-1234" til alting... Shhh...


Der findes også password managers som ikke er cloud-baserede services.
Gravatar #6 - CBM
4. maj 2018 12:14
#5: det kunne selvfølgelig være en mulighed
Gravatar #7 - Athinira
4. maj 2018 12:18
kgp43 (3) skrev:
Jeg forstår ikke hvordan dette er muligt.
Bliver kodeordene ikke gemt i krypteret form?

Kan være mange ting.

Du indtaster stadigvæk kodeordet når du logger ind, som så bliver hashet igen og sammenlignet med den gemte værdi. De er sandsynligvis kommet at logge disse kodeord i klartekst når de blev indtastet.
Gravatar #8 - arne_v
4. maj 2018 13:19
Ib Rehné (2) skrev:

Lad os se om WebAuthn kan slå igennem som en succes ellers er der rigeligt med værktøjer i form af password managers til at håndtere stærke unikke kodeord.


Uanset hvor stærke og unikke passwords er så er det stadig et problem at password logges i klartekst.

Ib Rehné (2) skrev:

En password manager gør denne situation lidt ligegyldig og gør det let at skifte til et nyt kodeord.


Kun hvis man bliver informeret.

Gravatar #9 - arne_v
4. maj 2018 13:23
#3 og #7

De siger det jo meget klart:


About The Bug

We mask passwords through a process called hashing using a function known as bcrypt, which replaces the actual password with a random set of numbers and letters that are stored in Twitter’s system. This allows our systems to validate your account credentials without revealing your password. This is an industry standard.

Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.

Gravatar #10 - T_A
7. maj 2018 08:20
"We didn’t have to, but believe it’s the right thing to do. "

Prøv lige at køre den forbi EU lovgivning Twitter.
Er ret sikker på at det vil være ulovligt ikke at håndtere personlige information forsvarligt og bagefter at hemmeligholde dette brud vil ret sikkert kun skærpe lovovertrædelsen.

Så jo det skal I.
Gravatar #11 - Athinira
7. maj 2018 16:14
T_A (10) skrev:
"We didn’t have to, but believe it’s the right thing to do. "

Prøv lige at køre den forbi EU lovgivning Twitter.
Er ret sikker på at det vil være ulovligt ikke at håndtere personlige information forsvarligt og bagefter at hemmeligholde dette brud vil ret sikkert kun skærpe lovovertrædelsen.

Så jo det skal I.

Nej de skal ikke.

For det første: GDPR er ikke trådt i kraft endnu.

For det andet: hvilket brud snakker du om? Et "brud" betyder at nogen har skaffet sig uberettiget adgang til adgangskoderne - det er der ingen indikation af at der er sket her. Adgangskoderne blev blot logget ved en fejl, og Twitter fiksede problemet og slettede logfilerne. Der er ingen tegn på at nogen har haft uberettiget adgang til koderne. Twitter anbefaler blot at folk skifter deres adgangskode som en sikkerhedsforanstaltning.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login