Digital Life
15.06.2018

Facebook akzeptiert falsch eingegebene Passwörter

Wer ein beliebiges Zeichen vor oder nach sein Facebook-Passwort stellt, kann sich dennoch in seinen Account einloggen.

Um sich auf Facebook einloggen zu können, muss man sein Passwort nicht korrekt eingeben. Was wie eine Scherzmeldung klingt, kann jeder selbst überprüfen. Der Facebook-Nutzer Clemens Istel machte auf Twitter auf den Umstand aufmerksam, dass man an sein Passwort ein beliebiges Zeichen anhängen kann und dennoch in den Account kommt. Im Zuge von Recherchen fand die futurezone schließlich heraus, dass dies auch funktioniert, wenn man ein Zeichen vor das Passwort stellt. Auch dann kommt man in sein Profil.

Diese Eigenheit dürfte offenbar schon länger bekannt sein, wie einige Forendiskussionen auf Sicherheits- und Hackerblogs zeigen. Während eine futurezone-Anfrage bei Facebook bis dato unbeantwortet blieb, postete ein User eine angebliche Nachricht des Facebook-Security-Teams, in der diese kuriosen Log-in-Möglichkeiten verteidigt wurden. Das soziale Netzwerk akzeptiere bestimmte Eingaben, die hauptsächlich für das Scheitern von Usern beim Log-in verantwortlich sind.

Auch Großbuchstaben funktionieren

Neben dem hinzugefügten Zeichen funktioniert der Log-in auch, wenn die Feststelltaste versehentlich aktiviert ist, also alle Buchstaben in Großbuchstaben geschrieben werden. Akzeptiert wird auch, wenn der erste Buchstabe groß statt klein eingegeben wird, weil viele Smartphones Worteingaben automatisch so beginnen. "Wir denken, dass dies die Sicherheit von User-Passwörtern oder deren Account nicht signifikant beeinträchtigt", heißt es in dem geposteten Screenshot.

Diese Einschätzung bestätigt auch Joe Pichlmayer, CEO von Ikarus Software. "Ganz sauber implementiert ist es natürlich nicht. Sicherheitstechnisch ist es in Wahrheit aber ziemlich irrelevant, weil der Angreifer das tatsächliche Passwort ja trotzdem kennen muss", erklärt Pichlmayer im Gespräch mit der futurezone. "Ob jetzt davor oder danach noch ein Zeichen dazu kommt, spielt eigentlich keine Rolle." Hinsichtlich Brute-Force-Attacken, bei denen diverse Kombinationen einfach durchprobiert werden, komme man bei Plattformen wie Facebook ohnehin nicht weit, weil User über fehlerhafte Log-ins benachrichtigt werden.

Passwörter wiederholt ändern

Ungeachtet dessen drängt Pichlmayer dazu, starke Passwörter zu verwenden und diese in regelmäßigem Abstand zu ändern. "Als User weiß man einfach nicht, wie die beim jeweiligen Unternehmen hinterlegten Passwörter gesichert sind. Werden diese entwendet, sind der Account und im schlimmsten Fall auch andere Dienste, die verwendet werden, ungeschützt, da die meisten Leute leider oft das gleiche Passwort bei mehreren Plattformen verwenden." Wer sich nicht für jeden Dienst ein eigenes Passwort überlegen und merken möchte, solle zumindest einen Passwort-Manager wie KeePass verwenden.

Aber auch bei Facebook sieht der Sicherheitsexperte Verbesserungsbedarf. "Dass Facebook bei Eingabe eines früher einmal verwendeten Passworts online bestätigt, dass es sich dabei um ein altes Passwort handelt, ist nicht optimal. So erhalten Angreifer nämlich relativ einfach eine Bestätigung, dass der User dieses tatsächlich einmal verwendet. Er kann dieses vermeintlich alte Passwort schließlich bei anderen Diensten ausprobieren, wo der Betroffene seine Zugangsdaten vielleicht noch nicht geändert hat", sagt Pichlmayr.