Facebook will zentraler Passwortspeicher werden

Kein lästiges Passwort merken mehr: Facebook will mit Delegated Recovery zur Passwortzentrale werden. Der Kunde muss dem sozialen Netzwerk dafür vollständig vertrauen.

© m.jrn / Shutterstock.com

Passwörter sind in den heutigen Internetzeiten ein Graus. Der regelmäßige Online-User hat mittlerweile Dutzende Accounts auf unterschiedlichsten Seiten und im besten Fall hat er auch genauso viele Passwörter, die er sich alle merken muss. Weil das in den seltensten Fällen klappt, sind überall Backup-Mechanismen eingebaut – Sicherheitsfragen, temporäre Links per E-Mail etc. Facebook will den Aufwand für die Netzsicherheit nun offenbar stark reduzieren. Auf der Konferenz Usenix Enigma in Kalifornien stellte das Unternehmen das Konzept Delegated Recovery vor.

Passwortzentrale via Tokens

Mit Delegated Recovery soll der klassische E-Mail-Reset abgelöst werden. Für jedes Konto des Nutzers speichert Facebook ein Token. Damit kann der Nutzer jederzeit Zugang zum entsprechenden Account bekommen und zum Beispiel Passwörter neu setzen. Kryptografische Funktionen sollen gegen Missbrauch absichern. Das würde, laut Brad Hill von Facebook, die Sicherheitsprobleme der E-Mail, etwa keine Ende-zu-Ende-Verschlüsselung, umgehen. Mit GitHub hat man das Projekt bereits umgesetzt, hier geht allerdings nur um eine Absicherung bei Problemen mit der 2-Faktor-Authentifizierung und nicht um den Passwort-Reset. Da der Code open-source ist, können interessierte Entwickler die Technologie ausprobieren.

Vollstes Vertrauen?

Laut Heise erlaubt das Verfahren durchaus, Daten und persönliche Informationen vollständig zu anonymisieren, auch GitHub bestätigt, dass keine personenbezogenen Daten ausgetauscht würden. Unproblematisch ist das Konzept freilich trotzdem nicht. Der Nutzer gibt sich quasi in die Hände von Facebook, er muss dem Unternehmen voll vertrauen. Denn Facebook – oder jemand, der Zugriff auf die Daten bekommt – hat dank der Tokens einen Totalzugriff auf die digitale Identität des Anwenders. Wenn alles zentral zusammengefasst ist, muss es theoretisch auch nur einmal „gehackt“ werden.

Sicherheitsfanatikern dürfte das eher nicht gefallen. Zumal Heise darüber hinaus zu bedenken gibt, dass man eigentlich einen zweiten Faktor bräuchte, um einen echten Fortschritt gegenüber der Kopplung der Accounts an die eigene E-Mail-Adresse zu erlangen. Aktuell ist es eher eine Umlegung von der E-Mail-Anbindung auf eine zentrale Verwaltungsstelle in der Facebook-Obhut.