Hinweis: Der folgende Artikel hilft Ihnen weiter: Slack sendet möglicherweise schon seit fünf Jahren Ihr Passwort an andere Personen
Ein seit 2017 in den Systemen von Slack vorhandener Fehler, der dazu führte, dass „gehashte“ Versionen der Passwörter der Benutzer an jeden weitergegeben wurden, dem sie Anmeldelinks gesendet hatten, wurde endlich behoben.
Obwohl das Problem Berichten zufolge nur 0,5 % der Benutzerbasis von Slack betraf, war es schwerwiegend genug, dass die Business-Messaging-Plattform diese Benutzer dazu zwang, ihre Passwörter zurückzusetzen.
Das Unternehmen – das jetzt im Besitz von ist Zwangsversteigerung – sagte, die erzwungene Maßnahme sei vorsorglich gewesen, da „gehashte“ Passwörter (die verschlüsselten Versionen von Klartext-Passwörtern, die bei Verschlüsselungsprozessen generiert werden) manchmal mit roher Gewalt rückgängig gemacht werden können.
Slacks Anmelde-Slip-Up
In Ein Eintrag Als Slack das Problem besprach, sagte er, dass am 4. August ein kleiner Prozentsatz der Slack-Benutzer aufgefordert wurde, ihre Passwörter zurückzusetzen, „als Reaktion auf einen Fehler, der auftrat, als Benutzer einen gemeinsamen Einladungslink für ihren Arbeitsbereich erstellten oder widerriefen.“
„Wenn ein Benutzer eine dieser Aktionen durchgeführt hat“, heißt es in dem Beitrag weiter, „übermittelte Slack eine gehashte Version seines Passworts an andere Workspace-Mitglieder.“
Die betroffenen Parteien hätten solche Aktionen zwischen dem 17. April 2017 und dem 17. Juli 2022 durchgeführt, was im Kontext von Systemschwachstellen eine enorme Zeitspanne darstellt.
Die gute Nachricht ist jedoch, dass die gehashten Passwörter offenbar „für keinen Slack-Client sichtbar“ waren und um überhaupt ihre Existenz zu entdecken, war eine aktive Überwachung des verschlüsselten Netzwerkverkehrs von den Servern der Plattform erforderlich.
Warum hat Slack Benutzer gezwungen, ihre Passwörter zurückzusetzen?
Zum Glück für Slack und seine Benutzer gab es keine Beweise dafür, dass die Sicherheitslücke ausgenutzt wurde, sodass die gehashten Passwörter wieder in Klartext (nicht rechnerisch markierter, normal lesbarer Text) umgewandelt werden konnten.
Kurz gesagt, Hashes können nicht zur Authentifizierung verwendet werden, und die Umkehrung des Hashing-Prozesses ist mit den meisten Verschlüsselungsalgorithmen, die zum Hashen von Passwörtern verwendet werden, entweder nicht erreichbar oder nahezu unmöglich.
Slack sagt, dass trotzdem einige gehashte Passwörter immer noch brutal erzwungen werden können, und dies rechtfertigt das erzwungene Zurücksetzen des Passworts. Dies wirft die Frage auf: „Welchen Hashing-Algorithmus verwendet Slack?“ gelinde gesagt eine interessante Sache.
Die Bedeutung mehrerer Passwörter
Slack hat die Benutzer außerdem daran erinnert, wie wichtig es ist, für jeden von ihnen genutzten Onlinedienst eindeutige Passwörter zu verwenden.
Wenn jemand an Ihr Slack-Passwort gelangen würde, und es ist das, das Sie beispielsweise für Ihr geschäftliches Gmail-Konto verwendet haben, hätte ein Bedrohungsakteur plötzlich auch Zugriff darauf. Auf diese Weise wird häufig schnell das gesamte Netzwerk der Online-Konten einer Person kompromittiert.
Es ist unmöglich, sich Hunderte einzigartiger Passwörter zu merken – es sei denn, Sie haben eines Passwortmanager, das ist. Mit Passwort-Managern müssen Sie sich nur Ihren Master-Passschlüssel merken und nicht jede Menge verschiedener Passwörter, die stattdessen sicher gesichert und gespeichert werden. Auf diese Weise müssen Sie sich viel weniger Sorgen machen.
