News

Mit einem Konzept namens "Delegated Recovery" möchte Facebook den herkömmlichen Passwort-Reset via E-Mail ablösen und sich selbst anscheinend als unersetzlichen Mittelpunkt des Internet verankern.

Passwort vergessen oder gerade aus irgendeinem Grund nicht verfügbar?
Das passiert jedem einmal - früher oder später. Statt sich einen Reset-Link an die registrierte E-Mail-Adresse schicken zu lassen, geht man einfach in seinen Facebook-Account und schaltet sich dort den Zugang wieder frei. So stellen sich die Facebook-Ingenieure jedenfalls den Passwort-Reset der Zukunft vor.

Dieser neue Dienst namens Delegated Recovery wurde diesen Montag in Kalifornien auf der Konferenz "Usenix Enigma" vorgestellt.

Brad Hill, Sicherheitsentwickler bei Facebook, betonte die Nachteile von E-Mail. Im Unterschied zur Facebook-Methode fehlt bei E-Mail die Ende-zu-Ende-Verschlüsselung. Auch SMS-Codes seien nicht verschlüsselt.

Das zentrale Problem ist, dass Facebook selbst – oder jemand mit Zugriff auf die Daten bei Facebook – diese Tokens zum universellen Zugriff auf die komplette digitale Identität des Anwenders missbrauchen könnte.

Das wird an keiner Stelle diskutiert und gehört offenbar nicht zum Angriffsszenario, vor dem Facebook seine Anwender schützen möchte.
Fakto: Der Anwender muss Facebook vollständig und unbegrenzt vertrauen.