News vom 08.11.2016

Gefahren beim Login über Google und Facebook

Ein Artikel von , veröffentlicht am 08.11.2016

Viele Apps und Webdienste bieten Nutzern die Möglichkeit, sich über Google oder Facebook anzumelden. Dadurch vermeiden sie umständliche Passworteingaben. Möglich wird das durch das „Oauth-Protokoll“. Doch das wird oft fehlerhaft umgesetzt.

Ob im Web oder auf dem Smartphone, ob E-Mail oder WhatsApp: Ohne persönliches Nutzerkonto geht nichts. Zahlreiche Webdienste oder Apps erfordern einen Login-Namen und ein Passwort. Um den Anmeldeprozess zu vereinfachen, wurde das "Oauth-Protokoll" entwickelt.

Damit können sich Nutzerinnen und Nutzer mit den Anmeldedaten des einen Dienstes bei einem anderen Anbieter anmelden. Technisch bestätigt dabei zum Beispiel Google oder Facebook gegenüber einer App, dass ein Anwender dort über ein Nutzerkonto verfügt.

Drei Wissenschaftler der chinesischen Universität in Hongkong fanden nun heraus, dass zahlreiche Apps die übermittelten Zugangsdaten nicht überprüfen. Wie das US-Magazin Forbes meldet, könnten Angreifer sich dadurch Zugang zu den Nutzerkonten eines Opfers verschaffen, indem sie deren Google- oder Facebook-Identität ermitteln.

Die Wissenschaftler erwähnen in ihrem Bericht beispielsweise Apps zur Flug- oder Hotelbuchung. Cyber-Kriminellen könnten aber nicht nur Buchungsdaten in die Hände fallen, sie könnten genauso im Namen und auf Kosten der rechtmäßigen Nutzer Buchungen vornehmen. Zusätzlich könnten auch persönliche Daten aus einer App gestohlen werden.

Betroffene Apps wurden laut den Forschern rund 2,4 Milliarden mal installiert. Sie gehen davon aus, dass rund die Hälfte der Nutzer einen Login über Oauth wählt und rechnen daher mit rund einer Milliarde betroffener Nutzerkonten. Die betroffenen Apps nannten sie jedoch nicht namentlich. Dadurch sind Nutzerinnen und Nutzer mal wieder sich selbst überlassen.

Wer darin einen Grund mehr sieht, Facebook und Google nicht als Login-Hilfe zu nutzen, und sich trotzdem nicht für jeden Dienst ein eigenes Passwort merken mag, sollte einen Passwort-Manager in Betracht ziehen.

Wie Passwortmanager funktionieren, und welche es gibt, erfahren Sie im Beitrag Passwort-Manager richtig verwenden. Das Anmelden per Google- oder Facebook-Konto ist auch umstritten, weil dabei Informationen vom Nutzerkonto übertragen werden können. Mehr dazu im Beitrag Login mit Facebook.

 

Weitere Artikel

YouTube-Video 

Cloud-Sicherheit: Google schlägt Apple

Apples Pläne, die iCloud genauso sicher zu verschlüsseln wie iPhones, hat das FBI vereitelt. Für die Google-Cloud interessierte sich derweil niemand. Das hat Google ausgenutzt - und seine Cloud komplett abgeriegelt. Damit sind Daten in der Google-Cloud ab Android 9 sicherer als Daten in der iCloud.

Ansehen
Ratgeber 

Tracking im Internet: Cookies, Cache & Co.

Wer im Internet surft, hinterlässt Spuren. Es gibt viele Möglichkeiten, diese Datenspuren zu sammeln. Welche Informationen dabei zu wem gelangen, ist für Nutzer meist nicht transparent. Wir zeigen die wichtigsten Tracking-Arten, und wie man sich davor schützen kann.

Mehr
Ratgeber 

Serie: 8 Kindersicherungs-Apps im Check

Welche Möglichkeiten bietet eine Kindersicherungs-App? Speichert der Hersteller die Daten meiner Kinder? Teilt er sie mit Datensammlern? Wir haben acht Apps und Systemfunktionen geprüft und geben Antworten.

Mehr
Ratgeber 

Die Guten: 6 Lieblings-Apps für’s neue Jahr

Viele Apps treiben im Hintergrund unerwünschten Schabernack mit den Daten ihrer Nutzer. Doch es gibt auch erfreuliche Gegenbeispiele. Diese sechs Apps standen bisher im mobilsicher-Test am besten da.

Mehr