Twitters Passwortänderung in der Kritik

Haben Twitter-Nutzer den Verdacht, ihr Konto könnte kompromittiert worden sein, können sie ihr Passwort ändern. Durch die Passwortänderung wollen Nutzer sicher gehen, dass Dritte keinen Zugriff auf ihr Twitter-Profil haben. Dies ist bei Twitter nicht immer der Fall.

Gestern berichtete Heise Security vom Fall Terence Eden. Terence Eden wurde vom Betreiber des sozialen Netzwerks Twitter gewarnt, dass sein Benutzerkonto gefährdet sein könnte. Nachdem er die Echtheit der Warnung überprüft hatte, änderte er sogleich sein Zugangspasswort. So wollte Eden sicherstellen, dass kein Dritter Zugriff auf sein Benutzerkonto hat.

Wie Eden in seinem Web-Tagebuch (Blog) schildert, nahm er an, dass damit auch Webseiten von Drittanbietern keine Zugriffsmöglichkeiten mehr auf sein Konto haben. Dies stellte sich als Irrtum heraus.

Bei Twitter haben Nutzer die Möglichkeit, ihr Konto durch Zusatzanwendungen zu erweitern. Durch solche Zusatzanwendungen können Informationen mit Webseiten von Drittanbietern ausgetauscht werden. Die Betreiber solcher Zusatzanwendungen benötigen dafür Zugang zum entsprechenden Twitter-Profil.

Damit der Nutzer sein Passwort nicht an einen Dritten weitergeben muss, hat Twitter ein alternatives Zugangssystem etabliert. Es ist unter dem Namen OAuth bekannt. Dieses alternative Zugangssystem erhöht prinzipiell die Sicherheit.

Die über OAuth freigegebenen Zugänge bleiben jedoch bei einer Passwortänderung bestehen. Eine Passwortänderung untersagt somit nicht jedem den Zugang zum Twitter-Profil, was von Angreifern missbraucht werden kann.

Heise Security empfiehlt Twitter-Nutzern, solche freigegebenen Zugänge selbst zu schließen. Dies kann über die Einstellungen (Settings) erledigt werden.

Andere Betreiber, die ebenfalls OAuth einsetzen, berücksichtigen bei der Passwortänderung die Drittzugänge zum eigenen Profil. Heise Security nennt als Beispiel den Betreiber Yahoo, der beim Ändern des Passworts auch anbietet, Drittzugänge zu schließen.