Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Facebook verrät alte Paßwörter

Send to Kindle

Als ich mich gestern in Facebook einloggen wollte, staunte ich nicht schlecht. Ich gab versehentlich das alte Paßwort ein, weil ich am Mittwoch das Paßwort aufgrund des da bekanntgewordenen Datenlecks ändern wollte. Die Fehleingabe wurde nicht etwa nur mit der Meldung quittiert, daß mein Paßwort falsch sei, sondern mit folgender Meldung:

altes Facebook-Paßwort

Begründet wird dies damit, daß der User darauf aufmerksam gemacht werden soll, daß sein Paßwort geändert wurde. Für den Fall, daß er die Paßwortänderung nicht selbst veranlaßt hat, ist das ja auch in Ordnung. Dafür muß man aber nicht verraten, daß es sich bei dem eingegebenen Paßwort um ein altes Paßwort handelt. Es wäre ausreichend zu erklären, daß das Paßwort falsch ist und kürzlich geändert wurde. In der Form, wie Facebook das macht, ist das jedoch eine Sicherheitslücke. Da User Paßwörter sicherlich oft wiederverwenden, ist bei einfacheren Paßwörtern durchaus vorstellbar, daß ein Angreifer durch munteres Paßwortraten an ältere Paßwörter rankommt, die seitens des betroffenen Users noch irgendwo anders in Benutzung sind. Verschärft wird das Problem dadurch, daß mindestens auch das vorletzte Paßwort noch gespeichert wird, wie meine Tests belegen konnten. Weiter zurück habe ich es nicht probiert, aber es ist nicht ausgeschlossen, daß auch noch ältere Paßwörter gespeichert werden. So legt Facebook eine stattliche Sammlung alter Paßwörter an, die durchaus mißbraucht werden kann.

Update vom 17. 06. 2011: Eben habe ich festgestellt, daß Facebook auch irgendwann wieder vergißt, daß ein eingebenes Paßwort ein altes Paßwort war. Allerdings war das alte Paßwort jetzt ungefährt einen Monat bei Facebook gespeichert. In dieser Zeit habe ich mehrfach getestet, ob diese Meldung irgendwann abläuft. Das scheint nach einem Monat der Fall zu sein. Das ist definitiv zu lang. Facebook sollte das alte Paßwort sofort löschen.

Flattr this!

Facebook Share Twitter Share

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2019 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/