von Rob Sobers
Vielleicht haben Sie in den letzten Wochen in den Medien gehört, dass manche Arbeitgeber die Zugangsdaten ihrer Mitarbeiter für Facebook oder andere soziale Netzwerke wissen wollen. Verletzen sie dadurch die Privatsphäre ihrer Mitarbeiter? Nur ein bisschen.
Leider hat der US-amerikanische Kongress eine Gesetzesänderung abgelehnt, die Arbeitgeber künftig davon abgehalten hätte, derart alberne Forderungen zu stellen. Nachdem ich den Widerspruch gelesen habe, hoffe ich, dass das Gesetz doch noch in irgendeiner Form verabschiedet wird.
Zum Glück kommt es selten vor, dass bei Bewerbungsgesprächen nach den Login-Daten für soziale Netzwerke gefragt wird.
Bei Websites ist dies jedoch gang und gäbe. Wir nennen dies das „Passwort-Antimuster“. Wenn Sie von einer Drittanbieter-Website aufgefordert werden, Ihren Benutzernamen und Ihr Passwort für einen anderen Dienst wie Facebook oder Twitter einzugeben, dann sollten bei Ihnen sämtliche Alarmglocken schrillen!
Hier sehen Sie eine Website, die direkt nach Ihren Twitter-Zugangsdaten fragt. Schlecht! Eine bessere Lösung wäre, Sie auf Twitter weiterzuleiten, damit Sie sich sozusagen persönlich authentifizieren können. Nämlich folgendermaßen:
Normalerweise steht hinter der Passwort-Abfrage der Website keine böse Absicht – es geht in der Regel nicht darum, in Ihrem Konto herumzuschnüffeln (außer es handelt sich tatsächlich um eine Phishing[VL1] -Seite). Vielmehr möchte die Website Ihnen dabei helfen, Ihre Freunde zu finden oder Ihre Fotos zu importieren, oder die Nutzererfahrung ihrer Anwendung auf sonstige Weise verbessern, indem eine Verbindung zu anderen Websites hergestellt wird.
Doch allen guten Absichten zum Trotz kann dies katastrophale Folgen haben. Nehmen wir an, Sie möchten die App XYZ Ihre Gmail-Kontakte importieren lassen. Die App fragt Sie also nach Ihrem Gmail-Passwort und Sie teilen es bereitwillig mit. Sie vertrauen nun darauf, dass Ihre Zugangsdaten an einem sicheren Ort gespeichert werden. Die traurige Wahrheit ist jedoch, dass dies wahrscheinlich nicht der Fall sein wird.
Stellen Sie sich vor, dass Sie Ihre Zugangsdaten auch noch bei 15 weiteren Apps eingeben. Eine davon wird Opfer eines Hacking-Angriffs, bei dem alle Daten gestohlen werden. Wenn Sie Ihr Gmail-Passwort nun nicht sofort ändern, könnte Ihnen der Zugriff auf Ihren eigenen Account schon bald verwehrt werden. Was noch schlimmer ist: Die meisten Anwendungen erlauben die Passwort-Änderung per E-Mail. Unser E-Mail-Kennwort ist also in der Regel der Schlüssel zu vielen anderen Schlössern.
Selbst wenn Sie es schaffen, Ihre Gmail-Zugangsdaten rechtzeitig zu ändern, müssen Sie diese Daten nun in 15 weiteren Apps ändern. Ein Albtraum!
Die gute Nachricht: Es gibt eine bessere Möglichkeit, um einer Website den sicheren, eingeschränkten und kontrollierten Zugriff auf eine andere Website zu erlauben. Sie nennt sich OAuth und ist eine Art Valet-Schlüssel.
Im nächsten Post erfahren Sie mehr über OAuth – was es ist, wie es funktioniert und welche Vor- und Nachteile es bietet. Bleiben Sie dran.
The post Warum Sie Ihre Passwörter für sich behalten sollten appeared first on Varonis Deutsch.