Nachdem Heroku zum Passwortändern aufgerufen hat, erklärt Salesforce nun den Grund: Gehashte und gesalzene User-Passwörter wurden aus einer Datenbank entwendet.
"(Quelle: https://www.heise.de/news/Passwort-Dieb ... 77515.html)"Nicht nur GitHub-OAuth-Token, sondern auch Nutzerpasswörter sind während des aktuellen Vorfalls bei Heroku entwendet worden. Das gab Salesforce im Blog der Cloud-Plattform bekannt. Zuletzt waren die Plattform-Nutzer zum Ändern ihrer Zugangsdaten aufgefordert worden, die Begründung ließ aber zunächst auf sich warten. Heroku gibt an, dass die Passwörter gehasht und gesalzen in der betroffenen Datenbank vorlagen. Ein gesalzenes Passwort bedeutet, dass die Nutzer-Eingabe vor dem Berechnen des Hashes noch mit einer zufälligen Zeichenfolge versehen wird. Das dient dazu, auch bekannte Hashes von beliebten Passwörter noch einmal abzusichern.