https://www.faz.net/-gy9-7nmw2

Login mit Facebook : Missbrauch programmiert

Die üblichen Verdächtigen: Login mit Facebook, Twitter und Google Bild: Facebook Twitter Google

Die Registrierung mit Benutzernamen, Mail-Adresse und Kennwort wird häufig ersetzt durch die Anmeldung mit Google, Twitter oder Facebook. Das kann gefährlich werden.

          2 Min.

          Immer mehr Dienste im Internet ersparen ihren Kunden die langwierige Registrierung mit Benutzernamen, E-Mail-Adresse und Kennwort. Stattdessen heißt es: anmelden mit Google, Twitter oder Facebook. Man hat sich an die Schaltflächen gewöhnt, einige Angebote lassen sich schon gar nicht anders nutzen. Auch bei Smartphone-Apps erfreut sich das Verfahren großer Beliebtheit. Die dahinter steckende Identitätsprüfung und Authentifizierung verläuft stets nach demselben Schema: Von der Web-Anwendung wechselt man beispielsweise zu Facebook, wo man sein Benutzer-Login vornimmt. Anschließend kommt die Frage, ob man den Zugriff der Web-Anwendung erlauben will. Damit ist die Authentifizierung abgeschlossen, ohne dass man seine Facebook-Zugangsdaten mitgeteilt hätte. Man wird zur ursprünglichen Anwendung zurückgeleitet und kann hier nun loslegen.

          Michael Spehr

          Redakteur im Ressort „Technik und Motor“.

          Auf diese Weise reist man quasi huckepack durchs Internet, getragen von Google, Twitter oder Facebook. Der Nutzer hat den Vorteil des erleichterten Einbuchens und der Anbieter die Gewissheit, dass seine Kunden reale Menschen sind, die sich bei Google, Twitter oder Facebook bereits legitimiert haben. Seit Jahren gelten diese Login-Verfahren als schick und sicher, sie laufen unter OAuth, Open Standard for Authorization.

          Nicht durchgängig geschützt

          Wir meinen jedoch, dass man vorsichtig sein sollte mit OAuth, das mittlerweile in Version 2 vorliegt. Man ist nämlich nicht durchgängig geschützt, wenn diebische Web-Anwendungen darauf abzielen, persönliche Daten zu stehlen. Während das Nutzen von Web-Anwendungen durch das beschriebene Huckepack-Verfahren vergleichsweise sicher ist und die gewährten Zugriffsrechte jederzeit widerrufen werden können, lässt es zum Beispiel Facebook zu, dass Web-Anwendungen die hinterlegte E-Mail-Adresse abfischen. Setzt OAuth bei der Übermittlung von Nutzerinformationen auf Tokens, also auf chiffrierte Zeichenketten, wird die E-Mail-Adresse von Facebook ohne jede Verschlüsselung im Klartext an Dritte weitergeleitet, wenn man die OAuth-Anmeldung vornimmt. Und damit ist auch gleich klar, dass es keinen Widerruf gibt.

          Wir sind der Sache auf die Spur gekommen, weil in unserem nur für Facebook genutzten E-Mail-Postfach plötzlich Spam landete. Dieser wurde verschickt von zwei verschiedenen App-Herstellern. Die entsprechenden Web-Anwendungen hatten wir im vergangenen Jahr nur kurz ausprobiert - und anschließend alle Zugriffsrechte widerrufen, was aus den beschriebenen Gründen nichts bringt.

          Facebook geht das Problem mit der üblichen Naivität an: Autorisierte Anwendungen dürften durchaus auf die E-Mail zugreifen, „um den Nutzer zu benachrichtigen“. Aber warum erhalten sie dafür die vollständige E-Mail-Adresse? Sie könnten ja über Facebook senden, abermals im Huckepack-Verfahren. Facebook meint: Wenn mit der E-Mail-Adresse Unfug getrieben würde, möge man sich melden. Alle Apps müssten sich „an unsere Plattform-Richtlinien halten. Wir reagieren sehr schnell auf Meldungen, dass Apps nicht in Ordnung sind“.

          Weitere Themen

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.