Passwort vergessen oder gerade aus irgendeinem Grund nicht verfügbar – das passiert jedem früher oder später. Statt sich einen Reset-Link an die registrierte E-Mail-Adresse schicken zu lassen, geht man einfach in sein Facebook-Konto und schaltet sich dort den Zugang wieder frei. So stellen sich die Facebook-Ingenieure jedenfalls den Passwort-Reset der Zukunft vor.

Der neuen Dienst namens Delegated Recovery wurde am Montag auf der Konferenz Usenix Enigma in Kalifornien vorgestellt. Dabei speichert Facebook für jedes Konto des Users ein spezielles Token. Mit diesem Token kann der Anwender jederzeit Zugang zu seinem Account bekommen und etwa ein neues Passwort setzen. Kryptografische Funktionen sichern diesen Vorgang gegen Missbrauch.

Brad Hill, Sicherheitsentwickler bei Facebook, betonte die Nachteile von E-Mail. Im Unterschied zur Facebook-Methode fehlt bei E-Mail die Ende-zu-Ende-Verschlüsselung. Auch SMS-Codes seien unverschlüsselt.

Offen für andere Betreiber

Die genaue Funktionsweise beschreibt ein Artikel beim Software-Repository GitHub, mit dem Facebook Delegate Recovery bereits umgesetzt hat. Allerdings geht es dabei bislang nicht um Passwort-Resets sondern lediglich um einen Fallback für Probleme bei der Zwei-Faktor-Authentifizierung, etwa weil man sein Handy verloren hat.

Delegated Recovery soll "in naher Zukunft" nicht nur in der Relation Github-Facebook, sondern bei "einer Reihe von Quellen" verfügbar sein. Da der Code Open Source ist, sollen auch andere als Facebook als Zugangshelfer fungieren, ähnlich wie man sich jetzt bei vielen Diensten über Facebook, Twitter oder Google einloggen kann (federated login). Hill sucht ausdrücklich nach "early adopters" auf beiden Seiten der Gleichung.

So sicher wie Facebook

Nach Zurücksetzen des Facebook-Passworts selbst kann man einge Zeit keine anderen Passwörter via Facebook zurücksetzen. (Bild: Brad Hill/Daniel AJ Sokolov)

Der Knackpunkt bei Delegated Recovery ist nicht die kryptographische Umsetzung; die sieht solide aus. Und es ist auch nicht die Tatsache, dass dabei persönliche Informationen ausgetauscht würden. Das Verfahren erlaubt es durchaus, diesen Vorgang vollständig anonym durchzuführen. GitHub betont auch, dass mit Facebook keinerlei personenbeziehbare Daten ausgetauscht würden. Das zentrale Problem ist die Tatsache, dass Facebook selbst – oder jemand mit Zugriff auf die Daten bei Facebook – diese Tokens zum universellen Zugriff auf die komplette digitale Identität des Anwenders missbrauchen könnte. Das wird an keiner Stelle diskutiert und gehört offenbar nicht zum Angriffsszenario, vor dem Facebook seine Anwender schützen möchte. Der Anwender muss also Facebook vollständig und unbegrenzt vertrauen.

Die Herausforderung Passwort-Reset

Passwort-Reset-Mechanismen sind tatsächlich eine der wichtigsten Schwachstellen bei der Sicherheit von Accounts. Sie sind eine Art beabsichtigter Hintertür-Zugang. Ganz früher nutzte man als Schlüssel für diese Hintertür "Sicherheitsfragen" wie die nach dem Mädchennamen der Mutter. So etwas lässt sich natürlich leicht herausfinden und ist damit ziemlich unsicher. Sites, die auf Security achten, haben Sicherheitsfragen deshalb abgeschafft. An die bei Registrierung hinterlegte E-Mail-Adresse wird im Fall eines Resets ein temporärer Link für das Ändern des Passworts geschickt (und nicht, wie bei manchen Diensten, ein neues Passwort, oder, wie bei Aegean Airlines beobachtet, das im Klartext (!) gespeicherte alte Passwort).

Etwas besseres zu finden, als alle Accounts an seinen E-Mail-Zugang zu koppeln, ist tatsächlich eine spannende Herausforderung. Ob man den Schlüssel zur Hintertür dabei wirklich Facebook anvertrauen möchte, steht auf einem anderen Blatt. Zu wünschen bliebe jedenfalls bei so einem Konzept, dass es zumindest als optionale Erweiterung enthält, dass der Aufbewahrer des Passwort-Reset-Tokens selbst keinen Zugriff auf meine Accounts bei anderen Diensten erhalten kann. Das könnte man etwa mit einer Integration eines zweiten Faktors erreichen. Ohne den bietet das Konzept keinen nennenswerten Fortschritt gegenüber E-Mail. Das Ganze ist dann eher ein durchsichtiger Versuch von Beelzebub (in Gestalt von Facebook) den Teufel Google auszutreiben und Anwender vom Regen in die Traufe zu schubsen.

Lesen Sie zum Thema Passwort-Sicherheit auch:



(ds)