Google speichert jahrelang Passwörter von G-Suite-Kunden im Klartext

Der Fehler wurde offenbar schon vor 14 Jahren eingeführt. Die ungehashten Kennwörter hält Google als Kopie in seiner Admin-Konsole vor. Dabei handelt es sich um ein verschlüsseltes internes System. Betroffen sind ausschließlich Enterprise-Kunden der G Suite und keine Verbraucher-Konten.

Google hat einen Fehler bei der Speicherung der Passwörter von G-Suite-Enterprise-Konten eingeräumt. Sie wurden offenbar ungehasht, also im Klartext, gespeichert, und zwar über einen Zeitraum von 14 Jahren.

G Suite (Bild: Google)Das Unternehmen betonte, dass Verbraucher nicht betroffen sind. Zudem seien die Kennwörter trotzdem geschützt gewesen, da sie auf einem verschlüsselten internen Server abgelegt waren.

„Googles Richtlinie besagt, dass Passwörter mit kryptographischen Hashes zu speichern sind, die diese Passwörter maskieren, um ihre Sicherheit zu gewährleisten“, schreibt Suzanne Frey, Vice President of Engineering bei Google, in einem Blogeintrag. „Vor kurzem haben wir jedoch eine Teilmenge unserer Kunden der Enterprise G Suite darüber informiert, dass einige Passwörter unverschlüsselt in unseren verschlüsselten internen Systemen gespeichert wurden.“

„Das ist ein G-Suite-Problem, das nur geschäftliche Nutzer betrifft – keine kostenlosen Consumer-Konten waren betroffen – und wir arbeiten mit den Administratoren in Unternehmen zusammen, dass deren Nutzer ihre Kennwörter zurücksetzen“, so Frey weiter. Eine gründliche Untersuchung habe keine Anzeichen für einen Missbrauch von G-Suite-Anmeldedaten geliefert.

Auslöser war offenbar ein Fehler bei der Implementierung der Hashfunktion im Jahr 2005. Dadurch sei eine Kopie des Passworts unverschlüsselt in der Admin-Konsole gespeichert worden, erklärte Frey. Der Fehler sei nun behoben worden. Die Passwörter hätten zudem die sichere verschlüsselte Infrastruktur nie verlassen.

Das Hashen von Passwörter gilt eigentlich schon seit vielen Jahren als grundlegender Standard beim Umgang mit Anmeldedaten von Nutzern. Trotzdem kommt es immer wieder vor, dass Unternehmen Passwörter ungeschützt speichern – oder so schlecht schützen, dass sie im Fall eines Datenverlusts ohne großen Aufwand entschlüsselt werden können.

Erst im März hatte Facebook zugegeben, die Kennwörter von mindestens 200 Millionen Usern unverschlüsselt vorgehalten zu haben. Die Daten waren zum Teil über einen Zeitraum von mehreren Jahren für Tausende Facebook-Mitarbeiter einsehbar. Wer in den 14 Jahren grundsätzlich bei Google Zugriff auf die unverschlüsselten Passwörter hatte, ist indes nicht bekannt. Google betonte jedoch, dass die unverschlüsselten Kennwörter jeweils nur 14 Tage vorgehalten und danach automatisch gelöscht wurden.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Authentifizierung, Google, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Google speichert jahrelang Passwörter von G-Suite-Kunden im Klartext

Kommentar hinzufügen
  • Am 24. Mai 2019 um 10:51 von tom

    Alles nicht so schlimm. Es waren nur „geschäftliche Nutzer“ betroffen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *