Für mehr Sicherheit: Facebook auf Einkaufstour im Darknet

Weil doppelt genutzte Passwörter die größte Gefahr für Nutzerkonten sind, kauft Facebook gehackte Accountpasswörter im Darknet. Das ist für Facebook aufwendig und nicht ganz unumstritten, könnte Nutzer aber schützen.

Im Rahmen des Web Summit, der gerade in Lissabon stattfindet, erklärte Facebook-Sicherheitschef Alex Stamos eine ungewöhnliche Maßnahme, die das Unternehmen zum Schutz seiner Nutzer getroffen hat: Man kaufe regelmäßig Listen gehackter Passwörter im Darknet und in Hackerkreisen. Dabei hat man nicht nur kompromittierte Facebook-Accounts im Blick: Doppelte Passwörter sind viel mehr das Hauptproblem für die Nutzersicherheit, so Stamos. „Man könne die sicherste Software haben, wenn Nutzer Passwörter mehrfach nutzen, geraten ihre Accounts womöglich doch in Gefahr.“

Dieses Problem ist nicht neu. Der Trend, dass Nutzer mehrfach die selben oder leicht abgewandelte Passwörter verwenden, mag durch Passwort-Manager wie 1Password zurückgegangen sein, doch das Recyceln von Passwörtern hat nach wie vor Konjunktur. Die Problematik dabei liegt auf der Hand: Jeder Webdienst wird früher oder später Opfer eines Hacks, trifft es womöglich kleinere Dienste mit weniger ausgereiften Sicherheitsmaßnahmen, ist vielleicht der Amazon- oder Google-Account eines Passwort-Recyclers bedroht.

Abgleich ist aufwendig

Facebook hat die Passwörter seiner Nutzer in gehashter Form vorliegen und kann die gekauften Datensätze mit seiner Datenbank abgleichen. Das sei rechenkraftintensiv, so Alex Stamos, aber es helfe die Nutzer zu schützen. Mehrere Millionen Nutzer konnten bereits gewarnt werden, dass ihr Passwort unsicher ist. Dienste wie Facebook sind doppelt exponiert, seit man sie via Single-Sign-on für die Authentifizierung bei zahlreichen weiteren Angeboten nutzen kann.