Facebook - Update Your Security Information

It's a maexotic world ...


Heute hat mir Facebook mitgeteilt, dass sie glauben mein Account wäre nicht gut genug geschützt und ich sollte doch meinen Account sicherer machen. Das fand ich so spannend, dass ich mir einmal angesehen habe, was sie denn denken, wie ich ihn sicherer machen könnte.

Nachdem ich erneut mein Passwort eingeben musste (immerhin!), erwartete mich diese Seite
(rechts oben kann man sehen, dass mein Account sowas von dermassen unsicher ist, klar!):

Facebook - Update Your Security Information

Contact Email

Als nächstes zeigen sie mir, welche E-Mail-Adressen mit dem Account verknüpft sind. Da diese Adressen - neben dem Passwort - zugleich ein Teil der Zugangsinformation sind, habe ich sie anonymisiert. (Das in der dritten Zeile ist nicht vorname.nachname@maexotic.de, das für alle Spielkinder vorneweg.)
Facebook hat insofern recht, dass da zwar drei E-Mail-Adressen stehen, aber nur zwei davon würden helfen (die dritte ist ja die Facebook Adresse) und die beiden anderen sind in einer Domain. Wenn also die Domain weg wäre und ich mein Passwort vergessen hätte, dann hätte ich ein Problem, aber nur dann.
Eine weitere Adresse hinzuzufügen, die nicht @maexotic.de wäre, wäre also für den Fall dass ich mein Passwort vergessen habe hilfreich. Zugegeben. Aber: warum soll ich ein Passwort vergessen, dass ich beinahe täglich eingebe? Nun ja ...

Mobile Phone

Klar, sie wollen, dass ich die (IMHO total kaputte) Mobile Phone App benutze. Da man einwilligt, dass die App auf so ziemlich alles zugreifen kann, was das Telefon so bietet, ist das ein ganz tolles Ding.
Sicherheit? Die App auf dem Telefon speichert natürlich auch das Passwort, wäre ja unbequem, das jedesmal eingeben zu müssen. Also wenn ich mein Passwort vergessen hätte, könnte ich trotzdem über die Mobile Phone App noch auf Facebook zugreifen. Da sie dann auch die Mobile Nummer kennen, könnten sie mir sogar eine SMS schicken.
Aber was, wenn ich das Telefon verliere oder verloren werde? Tja, dann ist Facebook offen. Dann kann derjenige, der mein Telefon hat, auf alle meine Facebook Informationen zugreifen und die aller meiner Freunde. Der kann dann meine Zugangsdaten und die E-Mail-Adressen ändern. Und wenn es echt blöd läuft steht sogar dass Passwort dechiffrierbar auf dem Telefon. Zugegeben, das habe ich jetzt nicht kontrolliert, aber alles andere würde mich wirklich verwundern, selbst wenn sie mit OAuth2 für die App rumhantieren würden.
Erhöht meine Sicherheit also echt voll. Vor allem, weil viele Leute ihr Passwort nicht nur für einen Zugang verwenden.
Andernfalls müsste man sich ja tatsächlich mehr als ein Passwort merken. Zusätzlich zur EC-Karten-Pin wohlgemerkt. Ach!? Echt das gleiche?

Security Question

Das ist in allen "Sicherheitssystemen" immer mein absoluter Liebling!
Alleine daran, dass sie die Sicherheitsfragen vorgeben, erkennt man, dass sie keinen Peil haben. Ein Challenge-Response Verfahren funktioniert in so einem Kontext nur, wenn ich mir beides selbst ausdenken kann, die Frage und die Antwort.. Mir ist natürlich klar, warum sie das machen: sie wollen verhindern, dass Leute sich so tolle Sicherheitsfragen ausdenken wie:

Frage: Wie heisst Justin Bieber mit Vornamen?
Antwort: Justin

So, jetzt haben wir alle einmal gelacht (auch wenn sowas traurigerweise in dieser Qualität vorkommt) - und jetzt schauen wir uns die Fragen an, die Facebook bereithält. Davor müssen wir uns aber über eines im Klaren sein:

Facebook ist ein System ist, in dem ich alle meine Freunde, die Familie, Klassenkameraden usw.
unterbringen und verknüpfen soll.

Jetzt nehmen wir mal einen ehemaligen Klassenkameraden, den (früher) besten Freund/beste Freundin, ein etwas entfernteres Familienmitglied (Cousin, Cousine), irgendjemand, mit dem man sich gerade gezofft hat und die jetzt richtig sauer sind - oder sich auch nur einen Spaß machen wollen. Sind für diese die Fragen unlösbar oder sehr schwierig oder eher einfach bis gar kein Problem?. Und dann müssen wir die Frage stellen:

Für wieviele von Deinen Freunden auf Facebook wäre es ein Problem
alle oder zumindest die meisten der Fragen richtig zu beantworten?

Das Problem ist aber noch viel weitreichender als man denkt. Ich habe oben immer "Facebook" als Einschränkung verwendet. Aber warum eigentlich?
Ist es nicht egal ob derjenige auf Facebook ist?

  • Facebook Accounts (die meisten) lassen sich über Google auffinden. Damit ist schon klar, wer ich sein will.
  • Bist Du bei Stayfriends oder hast Du Deine Schulgeschichte irgendwo anders hinterlegt? Vielen Dank, das macht das mit den Lehrern schon einmal sehr viel leichter.
    Nicht dass die Beantwortung dieser Fragen für einen Mitschüler jemals ein Problem gewesen wäre.
  • Genealogie (Ahnenforschung) ist ja sowas von toll. Auch mitgemacht? Daten hinterlegt (oder jemand anders) über Vater, Mutter, Großeltern? Deren Geburts-/Sterbedaten, Geburts-/Sterbeorte, Berufe?
    Autsch! Habe ich schon gesagt, dass das Internet toll ist?

Sichererer? [*]

Tja, liebes Gesichtsbuch, da denke ich fahre ich mit meinen momentan bei euch hinterlegten Daten (einer E-Mail-Adresse nur für Facebook und ein ziemlich langes Passwort) dann doch am sichersten. Auch wenn ihr das offensichtlich anders seht.

Post Scriptum

Der Hinweis von @ruebezahl - Danke dafür! - hat mich dann noch zu dem Blog-Artikel "Your Facebook Account has Three Passwords" gebracht. Der Workaround den Facebook macht, um die Supportkosten für Benutzer zu eliminieren, die CAPS LOCK anhaben, führt dazu, dass sie den Pool möglicher Passwörter halbiern. Ein Geschenk an die Cracker. Dabei gibt Facebook selbst an, dass täglich ca 600.000 Logins über kompromittierte Accounts erfolgen. Graham Cluely von Sophos schreibt darüber in "600,000+ compromised account logins every day on Facebook, official figures reveal".
Und wir wissen nun woher das kommt. Zumindest zum Teil.

Comments

Add Comment

Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA