Sicherheitschef Alex Stamos erklärte auf dem Web Summit einige Security-Maßnahmen des Netzwerks

Millionen E-Mail-Adressen und Passwörter für ein paar Hundert Dollar. Im Darknet herrscht ein schwungvoller Handel mit gehackten Daten. Wer dort shoppen geht, dürfte meist keine lauteren Absichten hegen. Im Rahmen des Web Summit, der vergangene Woche in Lissabon stattfand, verriet Facebook nun, ebenfalls Listen mit gehackten Passwörtern zu kaufen. Ziel ist dabei aber nicht, in Accounts einzudringen, sondern sie besser zu schützen.

Gefährliches Passwort-Recycling

Bei IT-Sicherheit gehe es um mehr als die Abschottung gegen Hacker, erklärte Alex Stamos bei der Veranstaltung laut "Cnet". Er ist seit Sommer 2015 der Chief Security Officer des sozialen Netzwerks. "Wir können die perfekte, sichere Software entwickeln und Leute können trotzdem geschädigt werden." Die größte Gefahr im Internet gehe dabei von wiederverwendeten Passwörtern aus.

Ein Internetdienst muss gar nicht selbst gehackt worden sein. Erlangen Hacker Zugriff auf Passwörter bei einem schlechter abgesicherten Anbieter, können auch die Accounts anderer Dienste gefährdet sein. Speziell dann, wenn Nutzer das gleiche Login für mehrere Konten verwenden. Analysen gestohlener Datensätze zeigen zudem immer wieder wie viele Nutzer die gleichen, extrem schwachen Passwörter verwenden. Einfachste Codes wie "12345" oder "password" sind besonders beliebt.

Vergleich mit gehackten Datensätzen

Damit die Nutzer von Facebook nicht ebenfalls bereits vorhandene, schwache Passwörter verwenden, kauft Facebook Listen aus dem Darknet um sie mit den Passwörtern seiner User zu vergleichen. Diese liegen dabei nicht im Klartext vor, sondern sind gehasht. So sieht Facebook zwar nicht, welche Passwörter verwendet werden, kann aber erkennen, ob Passwörter mit jenen aus einem gehackten Datensatz übereinstimmen.

Dahinter steht laut Stamos ein enormer Rechenaufwand. Man habe dadurch aber bereits Millionen Nutzer warnen können, die solche Passwörter verwendeten. Facebook bietet zwar Zwei-Faktor-Authentifizierung an, die vor einem Zugriff auf ein Konto schützt, selbst wenn das Passwort einer fremden Person bekannt ist. Es liege aber in der Verantwortung des Unternehmens auch jene Nutzer zu schützen, die diese Option nicht aktiviert haben, so der Sicherheitschef.

Accounts von Hackern zurückholen

Wie viele andere Sicherheitsexperten zuvor, macht auch Stamos deutlich, dass Usernamen und Passwörter für die heutige Nutzung nicht mehr zeitgemäß sind. Die Idee sei in den 1970er-Jahren entstanden und nicht für heute gemacht. Ein Problem kann etwa sein, wieder die Kontrolle über den eigenen Account zu erhalten, wenn ein Hacker das Passwort geändert hat. Statt der Funktion Passwörter zurückzusetzen, will Facebook Nutzern in Zukunft die Möglichkeit geben, dass ihre engsten Freunde in ihrem Namen die Wiederherstellung des Accounts anfordern können. (red, 17.11.2016)