34763710036
AVG Signal-Blog Privatsphäre Soziale Medien Ist es sicher, sich mit Facebook oder Google anzumelden?
Is_It_Safe_to_Log_in_with_Facebook_or_Google-Hero

Verfasst von Jonathan Lemonnier & Nica Latto
Veröffentlicht am September 16, 2016

Waren Sie in letzter Zeit online?

Dann sind Sie wahrscheinlich mehr als einmal darauf gestoßen, wenn Sie versuchen, sich bei einer neuen Website oder einem neuen Dienst anzumelden:

Facebook- und Google-Login-Buttons

Einige Dienste bieten auch eine Anmeldung mit Twitter, Linkedin oder Microsoft an. Andere erlauben es nicht einmal, sich mit einer guten alten E-Mail-Adresse oder über ein eigenständiges Konto anzumelden.

Vielleicht haben Sie sich auch gedacht: Na schön. Dann halt so. Sie haben die Geschäftsbedingungen akzeptiert, aber dann in letzter Sekunde innegehalten: Moment mal. Ist das überhaupt sicher?

Also das Ding heißt Oauth (Open Standards for Authorization) und es funktioniert wie nachstehend beschrieben.

Dieser Artikel enthält:

    Was passiert, wenn Sie sich bei Facebook oder Google anmelden?

    Nehmen wir an, Sie möchten sich bei peopleeatingcupcakes.com anmelden, weil Sie das unstillbare Bedürfnis haben, anderen Menschen beim Essen von Cupcakes zuzusehen ...

    Nun ja, warum auch nicht? Jeder wie er denn möchte.

    Üblicherweise würde peopleeatingcupcakes.com verlangen, dass Sie ein Konto für diese Website erstellen. Das würde normalerweise erfordern, dass Sie (wieder einmal) einen Benutzernamen erstellen und eine E-Mail-Adresse angeben, an die eine Bestätigungsnachricht gesendet wird – nur um sicherzustellen, dass Sie eine reale Person und kein Bot mit Cupcake-Interessen sind.

    Wenn Sie sich über Facebook oder Google anmelden, können Sie und die Website sich den Aufwand sparen. Stattdessen verlassen Sie sich auf diese Dienste, die dann für Sie bürgen und Ihr Konto verwalten.

    Wichtig ist dabei Folgendes: Der neue Dienst wird Ihr Passwort nie bekommen.

    Wenn Sie sich anmelden, sendet peopleeatingcupcakes.com Sie zu Facebook oder Google und Sie melden sich über diese Dienste an. Facebook oder Google senden dann ein Token an die Seite zurück, die im Wesentlichen sagt: „Ja, diese Person ist, wer sie vorgibt zu sein. Weitermachen.“

    Und schon dürfen Sie die wunderbare Welt der Cupcake essenden Menschen erforschen.

    Wo ist der Haken?

    Denn es gibt natürlich einen Haken. Wir reden ja hier von Facebook und Google.

    In den meisten Fällen erhält der Dienst, auf den Sie zugreifen, Zugriff auf einige Aspekte Ihrer Konten.

    Zumindest erhält er Zugang zu Ihrem öffentlichen Facebook-Profil oder Ihrer E-Mail-Adresse. Aber in einigen Fällen erhält er mehr als das, z. B. Zugang zu Ihrer Kontaktliste oder die Möglichkeit, Beiträge auf Ihrer Pinwand zu veröffentlichen.

    Facebook erlaubt ein gewisses Maß an granularer Kontrolle über das, was Sie freigeben, und Google wird sich wohl ähnlich verhalten. Aber Sie sollten sich dabei dessen bewusst sein, dass einige Dienste auf diese Informationen angewiesen sind. Wenn Sie die Berechtigungen nicht erteilen, können Sie die Dienste wahrscheinlich nicht nutzen.

    Soweit OK. Also: Ist diese Anmeldung sicher?

    In vielerlei Hinsicht, ja. Tatsächlich ist es viel sicherer, sich bei anderen Websites mit Google oder Facebook anzumelden, als ein eigenständiges Konto mit Passwort zu erstellen. Ein paar gute Gründe dafür:

    1. Ein Passwort weniger, das die Risiken erhöht

      Eines können Sie uns glauben: Sicherheit ist eine komplexe Angelegenheit.

      Sollten Sie keinen Passwortmanager verwenden, dann gilt: Je mehr Passwörter Sie erstellen – und die sollten für jede Website, die Sie nutzen, einmalig sein – desto wahrscheinlicher ist es, dass sie zu einfach und daher schwach ausfallen.

      Wird eine solche Seiten aber gehackt, dann wäre es für den Täter ein Leichtes, das von Ihnen verwendete Passwortgenerierungsmuster zu erraten. Schlimmer noch: Sollten Sie keine individuellen Passwörter verwendet haben, dann hätten die Hacker jetzt im Grunde genommen den Generalschlüssel zu allen Ihren Konten.

      Mit Oauth können Sie gewährleisten, dass Ihr Passwort nicht zu einfach und schwach ausfällt – zumal es dann das einzige wäre, das Sie sich merken müssen.

    2. Sie vertrauen den Sicherheitsangaben von Facebook oder Google.

      Wie schon gesagt: Sicherheit ist eine komplexe Angelegenheit.

      Vielleicht ist Peopleeatingcupcakes.com ja tatsächlich eine großartige Website. Aber ihre Betreiber haben wahrscheinlich gar nicht die Ressourcen, um auf dem gleichen Niveau wie die Facebooks und Googles dieser Welt in Sicherheitskonzepte zu investieren.

      Stellen Sie sich doch einfach die Frage: Habe ich tatsächlich genügend Vertrauen, dass diese Website meine Daten auch sicher verwahrt? Wahrscheinlich vertrauen Sie diesbezüglich eher Facebook und Google als irgendeinem kleinen Website-Betreiber.

    3. Wenn ein Hacker aber zuschlägt, dann ist nur wenig verloren.

      Denn schließlich kennt peopleeatingcupcakes.com Ihr Passwort nicht. Die Website besitzt nichts als ein Token, mit dem sie Ihre Identität bei Google oder Facebook bestätigen kann. Und falls sie gehackt wird, dann gibt es gar kein echtes Konto, dessen Daten entwendet werden könnten.

    4. Sie können den Zugang widerrufen

      Selbst wenn peopleeatingcupcakes.com gehackt wird oder Sie schließlich genug von Cupcakes haben und das Ganze vergessen wollen, dann können Sie einfach das Token zurückziehen und damit den Zugriff auf Ihre Daten sperren. Damit haben Sie weitaus bessere Optionen als mit dem Kontoverwaltungssystem, das von den Cupcake-Leuten eingesetzt wird. In vielen Fällen haben diese Systeme nicht einmal die Möglichkeit, Konten zu löschen.

    5. Sie können eine Zwei-Faktor-Authentifizierung verwenden

      Dies ist wohl der wichtigste Punkt: Egal wie stark ein Passwort ist, es ist immer noch nicht so gut wie das Einrichten einer zweiten Methode zur Überprüfung Ihrer Identität. In den meisten Fällen kann dies ein einfacher, zeitlich begrenzt gültiger Code sein, der per SMS oder über eine Authentifizierungsanwendung wie Authy an Ihr Telefon gesendet wird, aber es gibt auch andere Methoden.

      Die meisten Dienste, die Oauth anbieten, bieten auch Zwei-Faktor-Authentifizierung an. Sollten Sie diese noch nicht aktiviert haben, dann ist es höchste Zeit.

    Zwei-Faktor-Authentifizierung

    Das „Alles auf eine Karte setzen“-Problem

    Jetzt werden Sie sagen: Was aber, wenn Facebook oder Google mal gehackt werden? Hätten Sie dann nicht alles auf eine Karte gesetzt – und verloren?

    Nun, in gewisser Weise ist das tatsächlich so. Deshalb müssen Sie sicherstellen, dass Sie ein sicheres Passwort und eine Zwei-Faktor-Authentifizierung für diese Konten eingerichtet haben.

    Überlegen Sie mal: Wenn Sie sich auf ein E-Mail-Konto verlassen, um all diese separaten Konten zu verwalten, und dieses wird gehackt, dann ist es im Grunde das Gleiche in Grün. Der Hacker kann Ihre E-Mail-Adresse verwenden, um die Passwörter für alle Ihre Dienste zurückzusetzen.

    So gesehen könnte Facebook etwas sicherer sein, da Ihr Facebook-Konto normalerweise nicht als E-Mail-Konto fungiert. Und es gibt natürlich Möglichkeiten, das Hacken einer E-Mail-Adresse zu verhindern, unabhängig vom Dienst.

    Vielleicht sollten Sie sich stattdessen auf einen Passwortmanager verlassen?

    Über Passwortmanager kann man sicherlich viel Gutes sagen.

    Aber in diesem Fall ist die Verwendung eines Passwortmanagers zur Erstellung mehrerer starker und eindeutiger Passwörter für jede Website nicht gleichbedeutend mit einer größeren Sicherheit als die von Google oder Facebook bereitgestellten Oauth-Anmeldedaten.

    Erstens verlassen Sie sich dabei immer noch auf die Sicherheit des kleinen peopleeatingcupcakes.com-Dienstes, um das individuelle Passwort und Ihr Konto dort vor einem Angriff zu schützen. Wenn der Dienstleister nicht immer auf dem neuesten Stand ist, müssen Sie das Passwort ändern, aber das tun Sie ja nur, wenn Sie von dem Angriff erfahren.

    Und in der Zwischenzeit? Sie wurden gehackt und jemand vergreift sich an Ihrem Konto und Ihren Daten.

    Auch hier verwandelt die Zwei-Faktor-Authentifizierung das Problem in eine Lösung. Und die besten Passwortmanager unterstützen diese inzwischen. Und falls nicht, dann wechseln Sie halt den Anbieter.

    Aber auch hier setzen Sie alles auf eine Karte: den Passwortmanager. Ob dieser Manager sicherer ist als die von Google oder Facebook angebotenen Sicherheitsfunktionen, darüber kann man streiten, aber es ist nicht zu leugnen, dass bei einem Angriff auf den Passwortmanager die bösen Jungs dann Zugriff auf alle Ihre Konten erhalten.

    Und Passwortmanager sind nicht immun gegen Hackerangriffe.

    Also wie jetzt: Soll ich ihn nun benutzen oder nicht?

    Solange Sie ein starkes Passwort verwenden und eine Zwei-Faktor-Authentifizierung für Ihr Facebook- oder Google-Konto eingerichtet haben, dann sollten Sie sich dafür entscheiden. Das wird sicherer sein als die meisten Alternativen.

    Stellen Sie über Ihr iPhone anonyme Verbindungen her mit AVG Secure VPN

    Kostenlose Testversion

    Stellen Sie über Ihr Android-Gerät anonyme Verbindungen her mit AVG Secure VPN

    Kostenlose Testversion
    Soziale Medien
    Privatsphäre
    Jonathan Lemonnier & Nica Latto
    16-09-2016