Skip to content

Dein Konto wurde kompromittiert — wirft ein bloßes Ändern des Passworts den Angreifer hinaus?

Kurzantwort

Nicht allein. Viele Systeme halten bestehende Sitzungen und bereits ausgestellte Tokens nach einem Passwortwechsel gültig — OAuth-Refresh-Tokens, „App-Passwörter“, API-Schlüssel und persistente Cookies — sodass ein Angreifer mit einer aktiven Sitzung drinbleiben kann. Die richtige Reaktion ist, das Passwort zu ändern UND alle Sitzungen und Tokens zu invalidieren, App-Anmeldedaten zu widerrufen und MFA-Geräte sowie Wiederherstellungseinstellungen zu prüfen. Anzunehmen, ein Reset allein werfe den Angreifer hinaus, ist ein klassischer Incident-Response-Fehler.

Es wirkt offensichtlich: Der Angreifer kam mit deinem Passwort hinein, also ändere es, und er ist ausgesperrt. In modernen Identitätssystemen ist diese Intuition oft falsch, und danach zu handeln vermittelt ein trügerisches Gefühl der Eindämmung.

Warum ein Passwortwechsel nicht immer hinauswirft

Authentifizierung und fortlaufender Zugriff sind entkoppelt. Du authentifizierst dich einmal mit einem Passwort, doch das System stellt danach langlebigere Artefakte aus, die das Passwort nicht bei jeder Anfrage erneut prüfen:

  • Aktive Sitzungen / Cookies — eine angemeldete Browsersitzung kann tagelang gültig bleiben, unabhängig vom aktuellen Passwort.
  • OAuth-Refresh-Tokens — an verbundene Apps ausgestellt, erzeugen sie neue Zugriffstokens, ohne das Passwort je wiederzusehen.
  • App-Passwörter / API-Schlüssel — separate langlebige Anmeldedaten, gerade dafür geschaffen, nicht vom Hauptpasswort abzuhängen.
  • Persistentes Gerätevertrauen — „dieses Gerät merken“-Markierungen, die die erneute Authentifizierung überspringen.

Ein Angreifer, der eine aktive Sitzung aufgebaut oder ein Refresh-Token erbeutet hat, nutzt es nach deinem Reset einfach weiter.

Was den Angreifer wirklich hinauswirft

Behandle das Zurücksetzen als einen Schritt einer Abfolge, nicht als die ganze Aufgabe:

  1. Passwort zurücksetzen — ja, tu das trotzdem.
  2. Alle Sitzungen invalidieren — löse eine globale Abmeldung / „alle Sitzungen widerrufen“ aus, damit bestehende Cookies sterben.
  3. Tokens und App-Anmeldedaten widerrufen — beende OAuth-Gewährungen, Refresh-Tokens, App-Passwörter und API-Schlüssel.
  4. MFA und Wiederherstellungseinstellungen prüfen — Angreifer fügen häufig ihr eigenes MFA-Gerät, eine alternative E-Mail oder eine Wiederherstellungsnummer hinzu, um das Passwort sofort zurückzusetzen. Entferne alles, was du nicht erkennst.
  5. Weiterleitungsregeln und OAuth-Zustimmungen prüfen — verbreitete Persistenz bei E-Mail-Konten.

Die Erkenntnis für das Interview

Der Denkfehler ist, Authentifizierung als fortlaufendes Tor zu behandeln, obwohl sie ein einmaliger Kontrollpunkt ist, der dauerhafte Tokens ausstellt. Nur „ändere das Passwort“ zu sagen signalisiert, dass du Sitzungs- und Token-Lebenszyklen nicht verstehst. Die starke Antwort lautet: „Passwort zurücksetzen und jede Sitzung, jedes Token und jeden Wiederherstellungspfad widerrufen, dann MFA prüfen.“

Wahrscheinliche Anschlussfragen

  • Warum kann ein OAuth-Refresh-Token nach dem Zurücksetzen des Passworts weiterhin funktionieren?
  • Welche Artefakte des Wiederherstellungspfads solltest du prüfen, damit der Angreifer das Passwort nicht einfach zurücksetzt?
  • Wann ist „globale Abmeldung / alle Sitzungen widerrufen“ die richtige erste Maßnahme?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.