Slack-Logo
Neuigkeiten

Hinweis zu Zurücksetzungen von Slack-Passwörtern

Vom Slack-Team4. August 2022

Am 4. August 2022 haben wir etwa 0,5 % der Slack-Benutzer:innen darüber benachrichtigt, dass wir ihre Passwörter infolge eines Fehlers zurücksetzen, der aufgetreten ist, als Benutzer:innen einen Link für eine Geteilte Einladung für ihren Workspace erstellt oder widerrufen haben. Wenn ein:e Benutzer:in eine dieser Aktionen ausgeführt hat, hat Slack eine gehashte Version ihres bzw. seines Passworts an andere Workspace-Mitglieder übermittelt. Dieses gehashte Passwort war in keinem Slack-Client sichtbar; es hat sich herausgestellt, dass eine aktive Überwachung des verschlüsselten Netzwerk-Traffics von den Slack-Servern erforderlich war. Dieser Fehler wurde von einem unabhängigen Sicherheitsforscher entdeckt und uns am 17. Juli 2022 mitgeteilt. Er hat alle Benutzer:innen betroffen, die zwischen dem 17. April 2017 und dem 17. Juli 2022 Links für Geteilte Einladungen erstellt oder widerrufen haben.

Nach Erhalt der Meldung des Sicherheitsforschers haben wir den zugrundeliegenden Fehler sofort behoben und daraufhin begonnen, die möglichen Auswirkungen dieses Problems auf unsere Kund:innen zu untersuchen. Wir haben keinen Grund, anzunehmen, dass irgendjemand aufgrund dieses Vorfalls an Klartext-Passwörter gelangt sein könnte. Wir haben die betroffenen Slack-Passwörter jedoch vorsorglich trotzdem zurückgesetzt. Die betroffenen Benutzer:innen müssen also ein neues Slack-Passwort festlegen, bevor sie sich erneut anmelden können.

FAQ – Häufig gestellte Fragen

Was ist ein gehashtes Passwort?

Ein Passwort-Hash ist nicht dasselbe wie das Klartext-Passwort selbst. Es handelt sich dabei um ein Verschlüsselungsverfahren zur sicheren, aber nicht umkehrbaren Speicherung von Daten. Mit anderen Worten, es ist praktisch unmöglich, ein Passwort aus dem Hash abzuleiten und niemand kann den Hash direkt zur Authentifizierung verwenden. Wir verwenden eine Technik namens Salting, um diese Hashes zusätzlich zu schützen.

Was muss ich tun, wenn mein Passwort von Slack zurückgesetzt wird?

Heute werden alle aktiven Accounts, die eine Passwortzurücksetzung erfordern, direkt mit der entsprechenden Anleitung benachrichtigt. Weitere Informationen zur Zurücksetzung von Passwörtern findest du jederzeit in unserem Support-Center: https://slack.com/intl/de-de/help/articles/201909068-Passw%C3%B6rter-zur%C3%BCcksetzen

Wie kann ich den Zugriff auf meinen Account überprüfen?

Alle Benutzer:innen können jederzeit die persönlichen Zugriffs-Logs für ihren Account überprüfen oder einen kompletten CSV-Export davon herunterladen, indem sie auf https://my.slack.com/account/logs gehen. Inhaber:innen und Administrator:innen von allen kostenpflichtigen Plänen können in unserem Support-Center mehr darüber erfahren, wie sie die Zugriffs-Logs für ihren Workspace einsehen: https://slack.com/intl/de-de/help/articles/360002084807-Zugriffs-Logs-f%C3%BCr-deinen-Workspace-anzeigen

An wen kann ich mich wenden, wenn ich weitere Fragen habe?

Wenn du Fragen hast, die wir hier nicht beantwortet haben, kontaktiere uns bitte unter feedback@slack.com.

Welche Schritte kann ich unternehmen, um meinen Account noch zusätzlich zu sichern?

Wir empfehlen allen unseren Benutzer:innen, die Zwei-Faktor-Authentifizierung zu nutzen, sicherzustellen, dass ihre Computer-Software und Antivirus-Software immer auf dem aktuellen Stand sind, und für jeden Dienst, den sie benutzen, neue, eindeutige Passwörter zu erstellen und einen Passwort-Manager zu verwenden.

    War dieser Blog-Beitrag hilfreich?

    0/600

    Super!

    Vielen Dank für dein Feedback!

    Okay!

    Vielen Dank für dein Feedback.

    Hoppla! Wir haben gerade Schwierigkeiten. Bitte versuche es später noch einmal!