Delegated Recovery von Facebook mit Vorsicht zu genießen!

Jeder kennt es: Das Passwort hat man sich nicht gemerkt und muss es nun zurücksetzen - Die E-Mail soll dabei vom Mechanismus der delegated Recovery von Facebook abgelöst werden. Man würde in Zukunft also keine E-Mail mit neuem Passwort erhalten. Der Sicherheitsanker wäre dann Facebook.

Mit delegated Recovery von Facebook macht sich das soziale Netzwerk unersetzbar!

Bisher wurden zurückgesetzte Passwörter per E-Mail oder SMS an den Benutzer versendet. Die Nachteile von E-Mail und SMS sind offensichtlich: Sie sind unverschlüsselt. Facebook sieht sich an der Stelle als Lösung des Problems. Sobald ein Passwort vergessen wird, kann man sich einfach in das Facebook-Konto einloggen und den Zugang zum Dienst wieder freischalten. Dabei basiert die Authentifizierung auf Tokens, welche bei Facebook gespeichert werden. Bei jedem gekoppeltem Dienst hinterlegt das soziale Netzwerke also einen Schlüssel, mit dem man sich wieder einloggen kann und das Passwort des Accounts neu setzen kann.

Kryptographie, Daten und Sicherheit sind nicht das Problem beim delegated Recovery von Facebook!

Das delegated Recovery von Facebook wurde bei Github bereits umgesetzt. Die Kryptographie sieht laut Heise stabil aus. Die Tatsache dass bei dem Prozess nicht zwangsweise personenbeziehbare Daten ausgetauscht werden, räumt auch diese Zweifel aus dem Weg. Nicht zu verachten ist jedoch die Stellung, welche sich Facebook mit dieser Funktion sichert. Die E-Mail ist aus heutiger Sicht nicht wegzudenken - allein aus der Tatsache, dass sie als Wiederherstellungspunkt für viele Accounts herhalten kann. Wenn diese Stellung von Facebook übernommen wird, ist der Dienst in Zukunft unverzichtbar - unabhängig von Katzenbildern, Memes und Fake News.

Passwort-Reset-Mechanismen sind eine Schwachstelle!

Es ist die Gefahr von Mehrfachnutzung von Passwörtern, von Datendiebstählen oder Phishing Angriffen: Das abhandenkommen der Zugangsdaten vom E-Mail-Account. Ab diesem Zeitpunkt ist der Diebstahl zahlreicher Accounts möglich. Die im Postfach befindlichen Begrüßungsmails der Plattformen verraten, von welchen Diensten man sich das Passwort zurückholen kann. Schnell ist die digitale Identitäten in fremden Händen. Die Beantwortung von Sicherheitsfragen galt lange Zeit als letzte Bastion. Mehr als eine Pseudo-Zwei-Faktor Authentifizierung steckt aber nicht dahinter. Das Problem ist: Passwort und die Beantwortung beziehen sich auf Wissen, welches der Benutzer - und auch nur der Benutzer haben sollte. Bei dem spektakulären Yahoo Hack wurden jedoch auch die Antworten zu Sicherheitsfragen gestohlen - was sie ab diesem Zeitpunkt unbrauchbar und sogar zur Gefahr für andere Accounts macht.

Delegated Recovery von Facebook - Meine Meinung!

Weder E-Mail noch SMS sind die optimale Lösung, wenn es darum geht ein Passwort für einen Account wiederherzustellen. Der Mechanismus von Facebook ist dabei zwar technisch eine sinnvolle Alternative - Der Anbieter ist jedoch das Problem. Das soziale Netzwerk macht sich dabei noch unverzichtbarer. Wenn es in Zukunft nicht mehr zum kommunizieren verwendet wird, dann zumindestens zum Wiederherstellen von Passwörtern. Es würde sich dann ähnlich verhalten zu StudiVZ: Viele Accounts existieren noch wegen der Bilder. Nutzer sind zu bequem sie zu exportieren. Wer würde die Funktion schon manuell deaktivieren, wenn sie einmal eingerichtet ist?