• Skip to primary navigation
  • Skip to content
  • Skip to primary sidebar
  • Über
  • Für Mitglieder
  • Produkte
  • Abonnieren
  • Datenschutzerklärung
  • Impressum
  • Login

neunetz.com

Wirtschaft im digitalen Zeitalter.

  • Analysen der digitalen Wirtschaft
  • Umbruch der Automobilbranche
  • Amazon analysiert
  • Big Tech

Änderung des Passworts loggt Clients und Apps nicht bei Twitter aus

21. Februar 2013 by Marcel Weiß 6 Comments

Brent Simmons:

When Twitter was recently hacked, I was among those who got an email saying I was affected. So I changed my password.
But here’s what I’ve noticed: changing my password does not cause any of the Twitter clients on my iPhone to ask me again for authentication. They just keep working normally. […]
I understand that OAuth is a security win in some ways. But implementors should, I think, be mindful of what normal people expect — which is that changing your password locks out every app until you re-authenticate.

Das ist ein schon länger bekanntes Problem, das Twitter lösen sollte. Die Tatsache, dass Twitter das nicht nach dem letzten Hack geändert hat, deutet darauf hin, dass sich daran auf absehbare Zeit nichts ändern wird. (Man könnte fast sagen, das sei wenig überraschend, da Twitter nur noch ein partielles Interesse am eigenen Ökosystem hat und deswegen dortige Sicherheitsprobleme keine hohe Priorität bekommen.)

(via Daring Fireball)

Teilen mit:

  • E-Mail
  • WhatsApp
  • Telegram
  • Facebook
  • Twitter
  • LinkedIn
  • Pocket

Filed Under: Allgemein Tagged With: twitter

neunetz.com Nexus

neunetz.com wird unterstützt von Mitgliedern. Mitglieder von neunetz.com Nexus erhalten exklusiv einen wöchentlichen Newsletter, eine monatliche tiefgehende Analyse und Zugang zu einem Fachforum, um die Strategien der digitalen Wirtschaft besser zu verstehen. Mehr Informationen zu Nexus hier.

About Marcel Weiß

Marcel Weiß, Jahrgang 1979, ist Gründer und Betreiber von neunetz.com.
Er ist Diplom-Kaufmann, lebt in Berlin und ist seit 2007 als Analyst der Internetwirtschaft aktiv. Er arbeitet als freier Strategy Analyst und ist Co-Host des Exchanges-Podcasts und weiterer Podcasts zur digitalen Wirtschaft. Er schreibt als freier Autor unter anderem für "Tagesspiegel Background: Digitalisierung & KI", und hält Vorträge zu den Treibern der digitalen Wirtschaft. Marcel Weiß berät Unternehmen auf der strategischen Ebene. Mehr zum Autor.
Mit Marcel Weiß auf Twitter und auf Linkedin vernetzen. (Mehr Abo-Möglichkeiten)

Reader Interactions

Was Nexus-Mitglieder dazu sagen

  1. Jens says

    21. Februar 2013 at 09:53

    Vielleicht bin ich etwas befangen, als jemand der schon mal eine eigene OAuth Server-Implementierung geschrieben hat, aber: Das ist genau was man will. Es hat ja in der Vergangenheit immer genervt, wenn man sein Passwort geändert hat und dann alle Clients neu zu autorisieren waren. Insbesondere sind ja bei einer Kompromittierung des Passwortes die ausgegebenen Auth-Tokens nicht kompromittiert. Der Angreifer, kann nun bestehende Tokens löschen (was komplett in Ordnung geht) oder sich selber welche ausstellen (was kritisch ist).

    Meiner Meinung sollte bei dem forciertem Passwortwechsel darauf hingewiesen werden, dass sich ein Angreifer neue Tokens hat ausstellen können. In diesem Fall sollte die Möglichkeit zum Löschen aller Tokens aber auch die Möglichkeit der Einsichtnahme geordnet nach Ausstellungsdatum angeboten werden. Twitter zeigte beim letzten Zwangspasswortwechsel die Liste der autorisierten Dritt-Apps. Ich empfinde das als hinreichend. Jemand mit 200 autorisierten Dritt-Apps hat vielleicht Gründe für sein Handeln.

    Bei korrekten Implementierung verfallen Auth-Tokens sowieso nach einer bestimmten Zeit (jeder der eine Zeit lang nicht die Facebook-App geöffnet hat, hat schon einmal unerwartet den Login-Bildschirm zu Gesicht bekommen → sein in der App hinterlegtes Auth-Token lief ab), so dass auch vom Angreifer kurzfristig ausgestellte Auth-Tokens mit der Zeit ungültig werden und er nach dem Zwangspasswortwechsel nicht die Möglichkeit hat, sich selbst neue auszustellen. Ein Passwortwechsel via Auth-Token oder aus Ausstellen neuer Auth-Tokens mit einem bestehenden Auth-Token geht üblicherweise nicht (für letzteres sieht OAuth2 so genannte Refresh-Tokens vor, die sind meistens aber auch zeitlich begrenzt, je nach Implementierung).

  2. Marcel Weiss says

    21. Februar 2013 at 13:29

    Ja. Wobei es bei einem Massenhack nicht schaden kann, die Tokens der betroffenen Accounts zu löschen. Nicht zuletzt weil die meisten User nicht verstehen dürften, wo die Gefahren liegen.

  3. Jens says

    21. Februar 2013 at 13:58

    Es schadet leider doch. Denn wenn man wieder zurückkehrt zu dem alten Status Quo: Das ein Hack immer gleich unkomfortabel für die User wird, werden sich Entwickler nicht mehr für den Mehraufwand entscheiden, die ein Verfahren bedeutet, welches besser als User/Password-Credentials ist – und es ist ein deutlicher Mehraufwand. Man entscheidet sich für Tokens, genau aus dem Grund, dass User/Password-Credentials bei Drittanbieter oder Geräten in Kundenhand nicht sicher aufzubewahren sind.

    Das Argument: Der User versteht das nicht, darf nicht dafür herhalten das man bei der UX/UI spart. Wie bereits gesagt: In dem Fall hier würde ja sowohl der Hinweis, als auch auch vielleicht schon eine Vorauswahl (alle Clients) für einen „Auswahl löschen“ Button genügen. Ich wehre mich nur dagegen, dass man davon ausgeht, dass alle User „dumm“ sind und man ihnen deshalb nicht mehr die Wahl lässt.

  4. Marcel Weiss says

    21. Februar 2013 at 15:00

    Das sehe ich anders. Der API-Provider kann Verifizierungen via Passwort unterbinden und OAuth vorschreiben. Zusätzlich, wenn er das nicht macht, kann er auch alle Sessions die über das alte Passwort gestartet worden, beenden. Also alle Verifizierungen ernaut abfragen, unabhängig ob OAuth-Token oder anders.

    Oder übersehe ich da etwas?

  5. nk says

    21. Februar 2013 at 23:48

    Das ist dann aber allenfalls eine Zweitdiskussion und hat mit dem Ursprungszitat nur bedingt etwas zu tun. Wenn ich mein Passwort ändere – was man ja eigentlich regelmäßig tun sollte – möchte ich eigentlich nicht bei allen OAuth-autentifizierten Drittservices plötzlich ausgesperrt und zur Neuanmeldung gezwungen sein. Da halte ich wie vorgeschlagen eine andere Lösung via begleitenden Vorschlagssystemen („Ihre aktuellen Autorisierungen“, „diese Dienste sind länger als … aktiv“) für die bessere. Letztlich kann Sicherheit doch nur ein Angebot sein und sollte dem User nicht als Ärgernis übergeholfen werden. Ich bin auch der Meinung, dass es fördernswert ist, sich aktiv mit dem Thema auseinandersetzen zu müssen, statt vom System gegängelt zu werden. Denn da schalten viele Nutzer ohnehin auf Durchzug.

  6. Marcel Weiss says

    22. Februar 2013 at 15:56

    Hm. Ich bin nicht sicher, ob das sinnvoll ist, wenn man das Passwort aus Sicherheitsgründen ändert (warum sonst sollte man?) und das Angebot aber zu 90% über mit OAuth verifizierten Drittanbieterapps nutzt.

Schreibe einen Kommentar Antworten abbrechen

Du musst angemeldet sein, um einen Kommentar abzugeben.

Primary Sidebar

neunetz.com Nexus

Bereits Mitglied? Bitte einloggen.
Mitglied werden? Hier erfährst Du alles über den Nexus, den Mitgliederbereich von neunetz.com.

Über neunetz.com

"Die Zukunft ist hier. Sie ist nur noch nicht gleichmäßig verteilt." - William Gibson
Die Infusion von Software verändert jede Branche und jeden gesellschaftlichen Bereich. Manche früher, andere später. Plattformdynamiken und Netzwerkeffekte machen die digitale Wirtschaft komplexer. Seit 2006 analysiert und ordnet neunetz.com diese Aspekte und die Auswirkungen der wachsenden digitalen Wirtschaft auf andere Branchen und die Gesellschaft als Ganzes ein. (Mehr hier.)

Neue öffentliche Artikel von neunetz.com per Email

Produkte

neunetz.com-Briefings für Unternehmen Maßgeschneiderte interne Newsletter für Unternehmen.


Nexus: exklusive Analysen, Community und mehr für Mitglieder

neunetz.com durchsuchen

Podcasts

neunetz.fm
neunetz.fm
Digitale Wirtschaft besser verstehen
Listen On Apple Podcast Listen On Google Podcast

Podcast Subscription Menu

  • Visit Website
  • RSS Feed
Hier und Jetzt – Open Web 7: Dezentrales Twitter und dezentrales Clubhouse?
by neunetz.fm
Matthias Pfefferle und Marcel Weiß sprechen über Twitters Dezentralisierungs-Projekt „Bluesky“ und den umfangreichen ersten Bericht des Projekts über fast alle heutigen dezentralen Social-Networking-Ansätze. Außerdem: Wäre eine dezentrale Alternative zu Clubhouse denkbar?
Matthias Pfefferle im Netz: Blog, (@pfefferle) auf Twitter, WordPress.org-Account
Links zu den Themen:
  • Erste Einschätzungen zur Ankündigung von Twitters „Bluesky“ Ende 2019 in Nexus 1 (Mitglieder)
  • Twitter’s decentralized social network project takes a baby step forward – The Verge
  • Über Jack Dorseys „Appstore für Ranking-Algorithmen“-Idee (Mitglieder)
  • Der Bericht: Ecosystem Review (PDF)
  • Clubhouse vs. Twitter Spaces
  • Decentralized Identifiers (DIDs) v1.0
Frühere Ausgaben der Open-Web-Ausgaben von Hier & Jetzt mit Matthias Pfefferle:
  • Hier & Jetzt – Open Web 6: Eine Liebeserklärung an RSS
  • Hier & Jetzt Open Web 5: Was bedeutet die Annäherung von WordPress an Matrix?
  • Hier & Jetzt Open Web 4: Mastodon, ActivityPub und das Fediverse
  • Hier & Jetzt Open Web 3: Github Sponsors, WordPress-Tumblr, Mastodon
  • Hier & Jetzt Open Web 2: Wo WordPress heute steht, und was fehlt
  • Hier & Jetzt Open Web 1: Wo das Open Web heute steht

‚Hier & Jetzt‘ kann man per RSS-Feed abonnieren und findet man natürlich auch bei Apple Podcast und in jeder Podcast-App.

Alle Podcasts von neunetz.fm (Hier & Jetzt, neunetzcast, und neunetz aktuell) lassen sich ebenfalls in einem Rutsch per Feed oder bei Apple Podcasts und in jeder Podcast-App abonnieren. (Einfach nach neunetz suchen und neunetz.fm abonnieren.)
Außerdem besteht die Möglichkeit über Twitter oder Facebook bei neunetz.fm auf dem Laufenden zu bleiben.

Die Podcasts von neunetz.fm werden unterstützt von den Nexus-Mitgliedern. Nexus-Mitglieder erhalten exklusiv einen wöchentlichen Newsletter mit aktuellen Einordnungen, zwei Podcast-Reihen (Newsletterinhalte in Audioform und die Aftershow des neunetzcast) und Zugang zu einem Fachforum, um die Strategien der digitalen Wirtschaft besser zu verstehen. (Mehr zu Nexus hier)
(Datei)

—
Hier und Jetzt – Open Web 7: Dezentrales Twitter und dezentrales Clubhouse? ist ein Podcast von neunetz.fm ~
Alle Folgen aller Shows auf neunetz.fm abonnieren:
Auf iTunes | Feed | Auf SoundCloud | Auf Twitter | Auf Facebook | Per Email

Hier und Jetzt – Open Web 7: Dezentrales Twitter und dezentrales Clubhouse?
Hier und Jetzt – Open Web 7: Dezentrales Twitter und dezentrales Clubhouse?
3. März 2021
neunetz.fm
neunetzcast 84: Clubhouse vs. Twitter Spaces
11. Februar 2021
neunetz.fm
neunetz aktuell 9: Clubhouse: Eine Analyse des Dienstes
21. Januar 2021
neunetz.fm
Hier & Jetzt – Open Web 6: Eine Liebeserklärung an RSS
23. Dezember 2020
neunetz.fm
neunetz aktuell 8: Zalando & Chekhovs Follow-Button
23. Dezember 2020
neunetz.fm
neunetz aktuell 7: Überfluss in der Distribution
19. November 2020
neunetz.fm
neunetz aktuell 6: Microsofts Gamepass als das Netflix der Games
9. November 2020
neunetz.fm
neunetz aktuell 5: TikTok und Europa
2. September 2020
neunetz.fm
neunetzcast 83: TikTok, Indien, Hey und die Macht der Appstores
13. Juli 2020
neunetz.fm
neunetzcast 83: TikTok, Indien, Hey und die Macht der Appstores
13. Juli 2020
neunetz.fm
Search Results placeholder
Listen On Apple Podcast Listen On Google Podcast

Podcast Subscription Menu

  • Visit Website
  • RSS Feed

Podcasts in der Lieblingsapp abonnieren!

Alle Podcasts von neunetz.fm jetzt abonnieren!
  • Apple Podcasts
  • RSS
  • SoundCloud
  • Overcast
  • PocketCasts
  • Castro

 

Archiv

Copyright © 2021 · News Pro on Genesis Framework · WordPress · Log in

loading Abbrechen
Beitrag nicht abgeschickt - E-Mail Adresse kontrollieren!
E-Mail-Überprüfung fehlgeschlagen, bitte versuche es noch einmal
Ihr Blog kann leider keine Beiträge per E-Mail teilen.