Auch LinkedIn setzt jetzt auf Zwei-Faktor-Authentifizierung. Seit diesem Monat können Nutzer der Karriereplattform die Zwei-Faktor-Authentifizierung in den Einstellungen aktivieren. Wie auch bei Facebook und anderen Diensten werden das Passwort und ein an das Handy per SMS gesandter Sicherheitscode abgefragt, wenn sich jemand von einem bisher nicht registrierten Gerät oder über einen bisher nicht genutzten Web-Browser anmelden möchte. Wenn man schon einmal dort ist, sollte man auch gleich über Einstellungen/Konto/Sicherheitseinstellungen verwalten die verschlüsselte Übertragung per HTTPS aktivieren. Standardmäßig liefert LinkedIn seine Seiten nämlich noch im Klartext aus.

Unbekannte Geräte und Browser müssen mit Verifizierungscode bestätigt werden. (Bild: LinkedIn )

LinkedIn hatte sich noch im Sommer vorigen Jahres mit einer Sammelklage in Millionenhöhe befassen müssen, die eine Nutzerin nach einem Passwort-Leck bei dem Netzwerk einreichte. LinkedIn wurde in der Klage vorgeworfen, den aus dem Jahr 1995 stammenden "veralteten" Hash-Algorithmus SHA1 zur Sicherung der Nutzerdaten eingesetzt zu haben. Außerdem wurden die gehashten Passwörter vorher auch nicht gesalzen. Das Unternehmen habe damit "die Integrität von sensiblen Daten der Nutzer erheblichen Risiken ausgesetzt", heißt es dort. Ein weiterer Punkt in der Klage richtete sich gegen die Informationspolitik der Plattform. Erst nachdem Dritte über den Passwortklau berichteten, gab LinkedIn das Leck zu. Die Klage wurde im März abgewiesen.

Unter Einstellungen/Konto/Sicherheitseinstellungen sollte man auch die sichere Verbindung aktivieren. (Bild: LinkedIn )

Tatsächlich ist SHA1 zum Hashen von Passwörtern nicht mehr zeitgemäß. Stand der Technik ist Password-Based Key Derivation Function 2 (PBKDF2), mit der sich Passwörter nach aktuellem Kenntnisstand nahezu unknackbar abspeichern lassen. Doch nichts davon setzte LinkedIn ein. (kbe)