News vom 08.11.2016

Gefahren beim Login über Google und Facebook

Ein Artikel von , veröffentlicht am 08.11.2016

Viele Apps und Webdienste bieten Nutzern die Möglichkeit, sich über Google oder Facebook anzumelden. Dadurch vermeiden sie umständliche Passworteingaben. Möglich wird das durch das „Oauth-Protokoll“. Doch das wird oft fehlerhaft umgesetzt.

Ob im Web oder auf dem Smartphone, ob E-Mail oder WhatsApp: Ohne persönliches Nutzerkonto geht nichts. Zahlreiche Webdienste oder Apps erfordern einen Login-Namen und ein Passwort. Um den Anmeldeprozess zu vereinfachen, wurde das "Oauth-Protokoll" entwickelt.

Damit können sich Nutzerinnen und Nutzer mit den Anmeldedaten des einen Dienstes bei einem anderen Anbieter anmelden. Technisch bestätigt dabei zum Beispiel Google oder Facebook gegenüber einer App, dass ein Anwender dort über ein Nutzerkonto verfügt.

Drei Wissenschaftler der chinesischen Universität in Hongkong fanden nun heraus, dass zahlreiche Apps die übermittelten Zugangsdaten nicht überprüfen. Wie das US-Magazin Forbes meldet, könnten Angreifer sich dadurch Zugang zu den Nutzerkonten eines Opfers verschaffen, indem sie deren Google- oder Facebook-Identität ermitteln.

Die Wissenschaftler erwähnen in ihrem Bericht beispielsweise Apps zur Flug- oder Hotelbuchung. Cyber-Kriminellen könnten aber nicht nur Buchungsdaten in die Hände fallen, sie könnten genauso im Namen und auf Kosten der rechtmäßigen Nutzer Buchungen vornehmen. Zusätzlich könnten auch persönliche Daten aus einer App gestohlen werden.

Betroffene Apps wurden laut den Forschern rund 2,4 Milliarden mal installiert. Sie gehen davon aus, dass rund die Hälfte der Nutzer einen Login über Oauth wählt und rechnen daher mit rund einer Milliarde betroffener Nutzerkonten. Die betroffenen Apps nannten sie jedoch nicht namentlich. Dadurch sind Nutzerinnen und Nutzer mal wieder sich selbst überlassen.

Wer darin einen Grund mehr sieht, Facebook und Google nicht als Login-Hilfe zu nutzen, und sich trotzdem nicht für jeden Dienst ein eigenes Passwort merken mag, sollte einen Passwort-Manager in Betracht ziehen.

Wie Passwortmanager funktionieren, und welche es gibt, erfahren Sie im Beitrag Passwort-Manager richtig verwenden. Das Anmelden per Google- oder Facebook-Konto ist auch umstritten, weil dabei Informationen vom Nutzerkonto übertragen werden können. Mehr dazu im Beitrag Login mit Facebook.

 

Weitere Artikel

Ratgeber 

Frisch getestet: Groovepad (Android)

Mit der Groovepad-App kann man aus Beats und Musikschnipseln eigene Songs kreieren. Das könnte eine schöne und spaßige Sache sein – wären da nicht die vielen Drittanbieter. Ganze 38 Firmen erhalten aus dieser App Nutzungsdaten, eindeutige Geräte-IDs oder den eigenen Standort.

Mehr
Kinder und Jugendliche 

Was tun bei Cybermobbing?

Wer von Cybermobbing betroffen ist, erlebt oft eine große Ohnmacht. Es gibt aber Möglichkeiten, sich zu wehren. Trifft es Kinder und Jugendliche, sind auch Eltern, Mitwissende und vor allem Schulen in der Pflicht, bei Mobbing über digitale Kanäle einzugreifen.

Mehr
Ratgeber 

Frisch getestet: Gorillas (Android)

Mit der Einkaufs-App Gorillas kann man sich frische Waren in Windeseile und zum Ladenpreis vor die Haustür liefern lassen. Doch die Bequemlichkeit hat einen Preis: Die App teilt Standort, Suchbegriffe, Namen und E-Mail-Adressen mit Marketing- und Analysediensten.

Mehr
Soziale Netzwerke 

Was Sie über Instagram wissen sollten

Auf Instagram kann man neben Fotos auch Stories und Live-Videos mit seinen Followern teilen. Mehr als als eine Millarde Menschen nutzen die Social-Media-Plattform weltweit. Seit 2012 gehört der Dienst zu Facebook. Wie sieht es mit Sicherheit und Datenschutz aus?

Mehr