Facebook Hack enthüllt die Gefahren der Verwendung eines einzelnen Kontos, um sich bei anderen Diensten anzumelden
Es gibt mehrere Flow-On-Effekte aus dem letzten Facebook-Hack. Shutterstock

Facebook angekündigt Am Freitag hatte sein Entwicklerteam ein Sicherheitsproblem entdeckt, das beinahe 50 Millionen Konten betraf. Aufgrund eines Fehlers im Facebook-Code konnten Hacker einen Account übernehmen und ihn genauso verwenden, wenn Sie sich mit einem Passwort am Account angemeldet hätten.

Das Unternehmen sagt, dass es nun das Problem in seinem Code behoben und Zugriffstokens für diese Konten zurückgesetzt hat - zusammen mit 40 Millionen anderen Konten, die für den Fehler anfällig waren. Wenn Sie sich letzte Woche von Ihrem Facebook-Konto abgemeldet haben, waren Sie wahrscheinlich davon betroffen.

Darüber hinaus ist wenig über das Ausmaß der Sicherheitsverletzung bekannt. In seinem Sicherheitsupdate sagte Facebook:

"Da wir unsere Untersuchung gerade erst begonnen haben, müssen wir noch feststellen, ob diese Konten missbraucht wurden oder auf welche Informationen zugegriffen wurde. Wir wissen auch nicht, wer hinter diesen Angriffen steckt oder wo sie basieren."

Innerself-Abonnieren-Grafik

Was es bedeutet

Dies ist nicht die bisher schlimmste Datenverletzung. Diese Auszeichnung gehört dem Kreditbüro Equifax, das persönliche Daten von den Konten von 147 Millionen Menschen. Aber leider gibt es für Facebook einige Flow-On-Effekte aus dem letzten Hack.

Erstens könnte der Verstoß gegen die Datenschutz-Grundverordnung der Europäischen Union verstoßen (DSGVO), die im Mai eingeführt wurde. Obwohl die DSGVO nur für europäische Bürger gilt, sind die Strafen für Datenverstöße hoch - bis zu 4% des globalen Umsatzes pro Verstoß.

Zweitens sind Konten auf anderen Plattformen, die die Facebook-Verifizierung verwenden, ebenfalls gefährdet. Das liegt daran, dass es heutzutage üblich ist, ein Konto als automatische Verifizierung zu verwenden, um sich mit anderen Plattformen zu verbinden, zum Beispiel mit einem Facebook-Konto, um sich bei einer anderen sozialen Medienplattform wie Twitter, Spotify oder Instagram anzumelden. Dies wird als Single Sign-On (SSO) bezeichnet.

Wie funktioniert Single Sign-On?

Wenn Sie eine Verbindung zu einem beliebigen System herstellen, benötigen Sie eine Form der Authentifizierung - normalerweise eine Anmeldeberechtigung wie ein Benutzername und ein Passwort. Wenn Sie viele verschiedene Systeme haben, die alle Anmeldeinformationen erfordern, bevor Sie sie verwenden können, müssen Sie sich plötzlich zehn verschiedene (idealerweise sehr lange) Kennwörter merken.

Manche Leute können das, viele aber nicht. Und wir wollen immer noch, dass die Systeme sicher sind. Wenn wir uns mit einem System verbinden könnten, das von den anderen vertrauenswürdig ist, und das Passwort des vertrauenswürdigen Systems verwenden, brauchen wir nicht zehn Passwörter - nur eines. Das ist das Prinzip hinter SSO.

Aber das funktioniert nur, solange das vertrauenswürdige System sicher ist. Wenn dies nicht der Fall ist, könnte ein Cyberkrimineller das gehackte Konto auf einer Plattform (in diesem Fall Facebook) verwenden, um auf eine andere verbundene Plattform zuzugreifen.

Was du machen solltest

Die Authentifizierung funktioniert normalerweise aufgrund eines von drei Faktoren:

* etwas, das Sie wissen, wie ein Passwort

* etwas, das Sie haben, wie eine Zugangskarte

* etwas, das du bist, wie ein Fingerabdruck.

Die Verwendung von mehr als einem Faktor erhöht die Sicherheit. In Ihrem Facebook-Konto können Sie die Zwei-Faktor-Authentifizierung verwenden. Das bedeutet, dass Sie bei der nächsten Anmeldung Ihr Passwort sowie einen Code eingeben müssen, der Ihnen per SMS zugesendet wird.

Die Zukunft der Verifikation

Es gibt immer eine Spannung zwischen Usability und Sicherheit. Menschen wollen, dass Systeme sicher sind, damit ihre Identitäten nicht gestohlen werden, und sie wollen auch, dass die gleichen Systeme leicht zugänglich sind. SSO ist ein Versuch, Benutzerfreundlichkeit und Sicherheit auszugleichen, aber der Facebook-Hack zeigt seine Grenzen auf.

Viele Menschen mögen keine Passwörter, daher wählen sie einfach zu merkende Passwörter aus, die leicht zu knacken sind. Cyberkriminelle haben Zugang zu Listen mit Millionen von gängigen Passwörtern (Hinweis: "Gandalf" ist nicht so einzigartig, wie Sie vielleicht denken).

Zugangstoken, wie Karten oder andere physische Geräte (wie sie zum Beispiel von einigen Banken verwendet werden) sind eine Lösung - solange Sie sie nicht verlieren. Es kann sein, dass die Verwendung eines eindeutigen physikalischen Attributs der beste Weg ist. Schließlich tragen Sie immer Ihren Fingerabdruck, Ihre Iris oder Ihre Stimme mit sich.

Über den AutorDas Gespräch

Mike Johnstone, Sicherheitsforscher, Associate Professor für elastische Systeme, Edith Cowan Universität

Dieser Artikel wird erneut veröffentlicht Das Gespräch unter einer Creative Commons-Lizenz. Lies das Original Artikel.

Bücher zum Thema

at InnerSelf Market und Amazon