Facebook fragte Nutzer nach Passwort für ihr E-Mail-Konto

    4. April 2019, 18:29
    66 Postings

    Sicherheitsexperte entsetzt – Diente zur automatischen Verifizierung bei Neuanmeldung, Praxis wird nun eingestellt

    "Unsere Mitarbeiter fragen Sie nie nach Ihrem Passwort" – einen solchen oder ähnlichen Hinweis geben viele Onlineplattformen ihren Nutzern bei der Anmeldung oder dem Login-Screen. Dass man dank Verschlüsselung keine Passwörter der Nutzer kennt, inklusive jenes für die eigene Plattform, wird mittlerweile als Standard in Sachen IT-Sicherheit betrachtet.

    Zu Facebook durchgesprochen hat sich das aber offenbar noch nicht. Das in den vergangenen Jahren ohnehin für seine Datenpraxis oft gescholtene soziale Netzwerk hat Nutzer bei der Neuanmeldung nämlich nach dem Kennwort für ihr E-Mail-Konto gefragt, berichtet Daily Beast.

    "Furchtbare Idee"

    Größere Bekanntheit erlangt hat die Praxis durch das Twitterposting eines Sicherheitsexperten. Gedacht hatte Facebook diese Vorgangsweise, um damit automatisch zu bestätigen, dass die vom User angegebene E-Mail-Adresse auch tatsächlich seine ist. Statt also eine Nachricht mit einem Verifikationslink zu schicken, sollte dies offenbar mit einer Art "Test-Login" bestätigt werden. Die übliche Verifikationsmethode war hingegen hinter dem Link "Benötigst du Hilfe?" quasi "versteckt"-

    "Hey, Facebook, das geheime Passwort des persönlichen E-Mail-Kontos eurer Nutzer zu verlangen ist aus Sicherheitsperspektive eine furchtbare Idee ", schreibt E-Sushi. Er wirft dem Unternehmen vor, damit praktisch Phishing nach Informationen zu betreiben, die es gar nicht besitzen sollte.

    Facebook stellt Praxis wieder ein

    Nachdem diese Form der Anmeldebestätigung medial die Runde gemacht hatte, meldete sich Facebook schließlich zu Wort. "Wir verstehen, dass die Passwortbestätigung nicht die beste Vorgangsweise ist, also werden wir sie nicht mehr anbieten", heißt es. Man beteuert allerdings, die Passwörter nicht gespeichert zu haben, wie es auch im entsprechenden Eingabedialog vermerkt war.

    Unklar ist, wann dieser Mechanismus überhaupt eingeführt wurde und wie viele angehende User damit konfrontiert worden waren. Möglicherweise steht er in Zusammenhang mit Maßnahmen gegen Fakeaccounts und Wahlbeeinflussung. (red, 04.04.2019)

    Share if you care.