Delegated Recovery
Der neue Dienst, unter dem Namen Delegated Recovery wurde am Montag auf der Konferenz Usenix Enigma in Kalifornien vorgestellt, wie heise.de informierte. Dazu heißt es weiter, dass Facebook für jedes Konto des Users ein spezielles Token speichert. Mit diesem Token kann der Anwender jederzeit Zugang zu seinem Account bekommen und etwa ein neues Passwort setzen. Kryptografische Funktionen sichern diesen Vorgang gegen Missbrauch.
Facebook Sicherheitsentwickler betonen dazu, dass die E-Mail Methode keine Ende-zu-Ende-Verschlüsselung besitzt. Es gäbe auch keine Verschlüsselung von SMS-Codes.
Zugriff auch für andere Betreiber
Delegated Recovery soll "in naher Zukunft" nicht nur in der Relation Github-Facebook, sondern bei "einer Reihe von Quellen" verfügbar sein. Da der Code Open Source ist, sollen auch andere als Facebook als Zugangshelfer fungieren, ähnlich wie man sich jetzt bei vielen Diensten über Facebook, Twitter oder Google einloggen kann (federated login) beschreibt heise.de.
Die Art und Weise der Funktion beschreibt ein Artikel beim Software-Repository GitHub, mit dem Facebook Delegate Recovery bereits umgesetzt hat. Im Kern geht es dabei aber nicht um Passwort-Resets sondern um einen Fallback für Probleme bei der Zwei-Faktor-Authentifizierung.
Wie sicher ist das Verfahren?
Vom Delegated Recovery Verfahren heißt es, dass es eine solide kryptographische Umsetzung bietet und das es auch erlaubt einen Vorgang vollständig anonym durchzuführen. Seitens Github wird auch betont, dass mit Facebook keinerlei personenbeziehbare Daten ausgetauscht würden.
Als zentrales Problem wurde die Tatsache erkannt, dass Facebook selbst – oder jemand mit Zugriff auf die Daten bei Facebook – diese Tokens zum universellen Zugriff auf die komplette digitale Identität des Anwenders missbrauchen könnte. Ein durchaus ernsthaftes Problem, das aber offensichtlich ignoriert wird und ein unbedingtes Vertrauen des Anwenders in Facebook erfordert.
Schwachstelle Passwort-Reset
Bei der Sicherheit des Accounts sind es die Schwachstellen im System, die Passwort-Reset-Mechanismen. Sie bieten eine Art beabsichtigter Hintertür-Zugang. An die bei Registrierung hinterlegte E-Mail-Adresse wird im Fall eines Resets ein temporärer Link für das Ändern des Passworts geschickt (und nicht, wie bei manchen Diensten, ein neues Passwort, oder, wie bei Aegean Airlines beobachtet, das im Klartext (!) gespeicherte alte Passwort), merkt heise.de an.
Fazit
Im Fazit dazu geht man der Frage nach, ob es wirklich eine so gute Idee ist den Schlüssel zur Hintertür dabei wirklich Facebook anzuvertrauen. Wünschenswert ist ein Konzept, dass es zumindest als optionale Erweiterung enthält, dass der Aufbewahrer des Passwort-Reset-Tokens selbst keinen Zugriff auf meine Accounts bei anderen Diensten erhalten kann, was man mit der Integration eines zweiten Faktors erreichen könnte. Ohne den bietet das Konzept keinen nennenswerten Fortschritt gegenüber E-Mail. Das Ganze ist dann eher ein durchsichtiger Versuch von Beelzebub (in Gestalt von Facebook) den Teufel Google auszutreiben und Anwender vom Regen in die Traufe zu schubsen.
