211service.com
Facebook möchte Ihren Internet-Führerschein bereitstellen
Obwohl es für viele nicht offensichtlich ist, ist Facebook dabei, sich von der weltweit beliebtesten Social-Media-Website zu einem kritischen Teil der Identitätsinfrastruktur des Internets zu entwickeln. Wenn dies gelingt, werden Facebook und Facebook-Konten zu einem noch größeren Ziel für Hacker.
Während Sicherheitsexperten darüber diskutieren, ob das Internet eine Identitätsschicht benötigt – ein einheitliches Protokoll zur Authentifizierung der Benutzeridentität – stimmen immer mehr Websites mit ihrem Code ab und nutzen Facebook Connect als Möglichkeit für jeden mit einem Facebook-Konto, sich bei der Website anzumelden unter der Klick auf eine Schaltfläche.
Facebook hat Connect bereits im Juli 2008 eingeführt und bietet Websites von Drittanbietern Tools zur Koordination mit den Benutzerinformationen, die Facebook besitzt, einschließlich der Logins. So hatten Websites die Möglichkeit, Facebook-Nutzern zu ermöglichen, sich mit ihrer Facebook-Identität zu identifizieren.
So bietet beispielsweise der Webstatistik-Anbieter Alexa neuen Nutzern die Wahl, ein Konto anzulegen, indem sie einen Benutzernamen und ein Passwort eingeben oder einfach auf die Schaltfläche „Mit Facebook verbinden“ klicken. Bekannte Websites, die auch Connect verwenden, sind die Internet Movie Database, Ask.com und ESPN. Andere werden 2011 mit ziemlicher Sicherheit auf den Zug aufspringen.
Das Identitätssystem von Facebook könnte sehr gut etwas bieten, was VeriSign, Microsoft, Yahoo und Google alle nur schwer anzubieten hatten: einen einzigen Führerschein für das Internet. (Damit bleibt die Frage beiseite, ob es für ein Unternehmen gut ist, eine solche Machtposition inne zu haben.)
Aufgrund einer einzigartigen Kombination von Faktoren eignet sich Facebook hervorragend als Speicherort für die Identitäten von Menschen im Internet. Im Gegensatz zu vielen beliebten Websites müssen sich die Benutzer registrieren und anmelden. Und Facebooks Nutzungsbedingungen verlangen, dass Benutzer ihre echten Namen und Informationen angeben – tatsächlich hat Facebook Konten gekündigt, die mit scheinbar falschen Namen oder für fiktive Charaktere erstellt wurden. Da Facebook-Benutzer ihre Konten mit einer enormen Menge dauerhafter persönlicher Inhalte ausstatten – einschließlich Fotos, Kontaktinformationen und Verbindungen zu ihrem sozialen Netzwerk – werden sie wahrscheinlich eine langfristige Beziehung zu der Website pflegen.
Diese Persistenz der echten Identität versetzt Facebook in die Lage, eines der drängendsten Probleme des heutigen Internets zu lösen – die Verbreitung von Benutzernamen und Passwörtern.
Im Gegensatz zur heutigen Praxis gibt es für die meisten Websites keinen Grund, ihre Benutzer zur Erstellung von Benutzernamen und Passwörtern zu zwingen. Die meisten Websites müssen oder wollen oder müssen die Identitäten ihrer Benutzer nicht verwalten – sie möchten einfach eine Möglichkeit, ihre Benutzer im Laufe der Zeit zuverlässig zu identifizieren. Medien-Websites möchten beispielsweise Kommentare zuordnen und Spam begrenzen. Websites für persönliche Finanzen möchten Benutzern die Möglichkeit bieten, sehr persönliche Informationen sicher zu überwachen – beispielsweise ein Portfolio von Aktien, das der Benutzer möglicherweise eingeben kann.
Darüber hinaus birgt die Aufrechterhaltung einer Infrastruktur mit Benutzeridentität Risiken – wie letzten Monat schmerzlich deutlich wurde, als Hacker in Server von Gawker Media eindrangen und die Benutzernamen und Passwörter für mehr als eine Million von Gawkers Konten herunterluden. Obwohl die Passwörter verschlüsselt waren, waren viele leicht zu erraten, sodass die Konten laut einem Analyse des Angriffs von Sicherheitsforschern der University of Cambridge. Nach dem Angriff schickten mehrere unabhängige Websites, darunter LinkedIn und Woot, E-Mails an ihre Benutzer, in denen sie aufgefordert wurden, ihre Passwörter zu ändern, wenn diese dieselben waren wie für Gawker.
Mit Facebook Login kann jede Website auf der Welt ihre Identitätsinfrastruktur nutzen – und die zugrunde liegenden Sicherheitsvorkehrungen. Es ist einfach, Facebook Login zu implementieren, indem Sie einfach ein paar Codezeilen zu einem Webserver hinzufügen. Sobald diese Änderung vorgenommen wurde, wird den Benutzern der Website eine Schaltfläche zum Verbinden mit Facebook angezeigt. Wenn sie bereits bei Facebook angemeldet sind (nachdem sie die Site kürzlich besucht haben), können sie einfach darauf klicken und sind angemeldet. Wenn sie sich kürzlich nicht angemeldet haben, werden sie zur Eingabe ihres Facebook-Benutzernamens und -Passworts aufgefordert.
Ein interessanter Nebennutzen für Website-Betreiber ist, dass Facebook-Login der Seite die echten Namen der Nutzer (in den meisten Fällen) und optional eine Vielzahl weiterer Informationen, wie beispielsweise die Freunde und Vorlieben der Nutzer, zur Verfügung stellt. Derzeit erhebt Facebook keine Gebühren für die Nutzung seiner Identitätsinfrastruktur oder den Zugriff auf diese zusätzlichen Informationen, obwohl Facebook dies in Zukunft sicherlich tun könnte.
Facebook ist mit Sicherheitsfragen im Internet bereits bestens vertraut, einfach weil es personenbezogene Daten von mehr als 500 Millionen Menschen speichert. Die verstärkte Nutzung der Facebook-Plattform für Dinge, die über soziale Medien hinausgehen – eine Bank in Neuseeland beispielsweise kündigte im November an, Kunden den Zugriff auf Bankdaten auf Facebook zu ermöglichen – wirft offensichtlich neue Bedenken auf. Und wenn das Unternehmen seine Reichweite um ein universelles Login im Web ausdehnt, werden die Herausforderungen wahrscheinlich noch größer.
Tatsächlich hat Facebook in den letzten Jahren auf verschiedene Weise Schritte unternommen, um die Sicherheit seiner Plattform zu verbessern.
Zum Beispiel hat Facebook letztes Jahr ein System eingeführt, mit dem Benutzer ein Einmalpasswort anfordern können, um sich von einem öffentlichen Terminal aus anzumelden, auf dem möglicherweise eine Spionagesoftware zur Protokollierung von Tastenanschlägen installiert ist. Benutzer senden von einem registrierten Mobiltelefon eine SMS-Textnachricht mit den Buchstaben otp an 32665 (FBOOK), und die Server von Facebook senden ein Passwort zurück, mit dem sich nur einmal in das Konto des Benutzers einloggen kann. Die Theorie besagt, dass es egal ist, ob ein Hacker einen Passwort-Sniffer ausführt, da das Passwort kein zweites Mal funktioniert.
Eine weitere Neuerung ist die Art und Weise, wie Facebook Benutzern ermöglicht, die verschiedenen Webbrowser und Geräte zu überwachen, von denen aus sie sich bei Facebook anmelden. Durch Anklicken des Account Einstellungen Pulldown-Menü und Auswahl des Abschnitts Kontosicherheit können Facebook-Benutzer alle derzeit authentifizierten Geräte sehen, von denen jedes aus der Ferne abgemeldet werden kann – nützlich, wenn Sie sich zufällig auf dem Computer Ihrer Eltern angemeldet lassen. Sie können auch von Facebook eine SMS-Benachrichtigung an Ihr Mobiltelefon senden lassen, wenn ein neues Gerät auf Ihr Facebook-Konto zugreift. Wenn Sie eine Verbindung von einem Computer sehen, den Sie nicht kennen, ist es natürlich an der Zeit, Ihr Passwort zu ändern.
Leider hat Facebook immer noch zwei wichtige Schwachstellen, die seine Website deutlich weniger sicher machen als die der meisten US-Banken: die Abhängigkeit von einem einzigen Benutzernamen und Passwort, um Zugang zu einem Konto zu erhalten, und die Verwendung eines unverschlüsselten Cookies, um zu verfolgen, welche Webbrowser eingeloggt sind.
Die Kombination aus Benutzername und Passwort bietet einen Schwachpunkt. Facebook-Konten können von einem Angreifer kompromittiert werden, der diese Informationen von einer anderen Site stehlen könnte – oder sie erraten, indem er viele Kombinationen nacheinander ausprobiert (ein sogenannter Brute-Force-Angriff).
Wir haben Systeme zum Schutz vor dieser Art von Brute-Force-Angriffen entwickelt, sagt Simon Axten, ein Sprecher von Facebook. Wenn wir beispielsweise mehrere verdächtige Anmeldeversuche für ein bestimmtes Konto feststellen, benötigen wir ein CAPTCHA und können den Zugriff auf das Konto sogar vorübergehend sperren.
Facebook überwacht eine Reihe von Signalen, einschließlich Standort und Gerät, sagt Axten, um festzustellen, wann ein Konto einem anhaltenden Angriff ausgesetzt ist. Sobald wir einen Versuch markiert haben – selbst wenn die richtigen Anmeldedaten eingegeben wurden – verlangen wir von der Person, die sich anmeldet, eine zusätzliche Authentifizierung, indem sie beispielsweise eine Sicherheitsfrage beantwortet, einen per SMS gesendeten Code eingibt oder Freunde identifiziert. in Fotos markiert, auf die der Kontoinhaber Zugriff hat.
Dennoch gibt es Möglichkeiten, sich auch ohne Kenntnis des Passworts Zugang zum Facebook-Konto einer Person zu verschaffen. Das liegt daran, dass Facebook ein sogenanntes Authentifizierungs-Cookie verwendet, um einen Webbrowser zu verfolgen, wenn dieser eingeloggt ist. Im Gegensatz zu Facebook-Passwörtern, die verschlüsselt über das Internet gesendet werden, werden die Cookies jedes Mal an die unverschlüsselten Webserver von Facebook gesendet ein Computer kommuniziert mit der Site. Dies ist kein großes Risiko, wenn Sie bei der Arbeit oder zu Hause eine kabelgebundene Internetverbindung oder eine verschlüsselte drahtlose Verbindung verwenden. Wenn Sie Facebook jedoch über einen unverschlüsselten drahtlosen Zugangspunkt in einem Café oder Flughafen verwenden, könnte jemand, der einen Paket-Sniffer auf einem Laptop ausführt, Ihr Authentifizierungs-Cookie aus der Luft stehlen und sich dann als Sie bei Facebook anmelden.
Ein solches Schnüffeln war im vergangenen Herbst einfacher denn je, als Eric Butler, ein freiberuflicher Webanwendungs- und Softwareentwickler in Seattle, ein Firefox-Plug-in namens . veröffentlichte Feuerschaf das automatisiert den Prozess. Wenn Firesheep in Firefox ausgeführt wird, erhalten Sie eine Liste aller Authentifizierungs-Cookies, die gesnifft wurden: Klicken Sie einfach auf den Kontonamen und – Hier – Sie greifen auf das Konto des Benutzers zu, ohne sich einloggen zu müssen.
Im Moment können Sie sich nur durch den Zugriff auf Facebook über die verschlüsselte Verbindung unter Cookie-Sniffing schützen https://ssl.facebook.com/ . Laut Axten befindet sich der Server noch in der Testphase und wird in den kommenden Monaten als Option weiter verbreitet. Er fügt hinzu: Wie immer raten wir den Leuten, beim Senden oder Empfangen von Informationen über ungesicherte Wi-Fi-Netzwerke Vorsicht walten zu lassen.
Axten sagt, Facebook steht vor einer Sicherheitsherausforderung, der sich, wenn überhaupt, nur wenige andere Unternehmen oder sogar Regierungen gestellt haben – der Schutz von mehr als 500 Millionen Menschen in einem Dienst, der ständig angegriffen wird. Die Tatsache, dass weniger als ein Prozent der Facebook-Nutzer jemals auf ein Sicherheitsproblem auf der Website gestoßen sind, ist eine bedeutende Leistung, auf die wir sehr stolz sind.