Aufgrund eines Fehlers speicherte Google über mehrere Monate hinweg Passwörter im Klartext in der G-Suite-Cloud. Davon waren Business-Kunden im Zeitraum von Januar 2019 bis Mai betroffen – private Google-Konten sollen davon nicht betroffen sein. Mittlerweile ist das Problem gelöst, erläutert Google in einem Beitrag.

Betroffene Kunden hat das Unternehmen eigenen Angaben zufolge bereits informiert. Wer so eine Mail bekommen hat, sollte sein Passwort zurücksetzen. Am 29. Mai will Google das für alle betroffenen Konten automatisiert einleiten. Sie versichern, dass es derzeit keine Hinweise für Zugriffe auf die ungeschützten Passwörter gibt.

Passwörter sicher speichern

Normalerweise behandeln sie Passwörter mit einem Hash-Algorithmus. Dabei handelt es sich um eine mathematische Operation, die eine Einbahnstraße ist: Bekommt ein Angreifer einen Hash-Wert in die Finger, kann er daraus nicht das Passwort rekonstruieren.

Der Fehler findet sich Google zufolge in den Admin-Tools von G Suite zum Zurücksetzen von Kennwörtern. Eine 2005 eingeführte Funktion speicherte Kopien von ungehashten Passwörter. Im Januar kam diese Funktion offensichtlich versehentlich zum Einsatz. Google versichert aber, dass die ungeschützten Kennwörter zumindest in einer verschlüsselten Umgebung lagerten.

Allgemein rät Google dazu, Accounts mit einer Zwei-Faktor-Authentifizierung abzusichern. Ist diese aktiv, muss man neben dem eigenen Passwort noch einen Extra-Code eingeben, um sich einzuloggen. Den Code erzeugt beispielsweise eine Authenticator-App. Selbst wenn ein Angreifer ein Kennwort im Klartext erbeutet, kann er sich ohne den zweiten Faktor nicht einloggen. (des)