Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Facebook: Telefonnummern werden…

Zwei-Wege-Authentifizierung aka "Anmeldebestätigungen"

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Zwei-Wege-Authentifizierung aka "Anmeldebestätigungen"

    Autor: knarf 21.11.12 - 23:03

    Leider verschweigt der Artikel die sehr nuetzliche Funktion der Zwei-Wege-Authentifizierung aka "Anmeldebestätigungen". Man muss zusaetzlich zum Passwort entweder den Code eingeben, den man per SMS erhaelt, den man alternativ auch via Codegenerator in der Facebook-App erzeugen kann. Das erschwert die feindliche Uebernahme des Facebook-Accounts enorm, selbst wenn man auf einem fremden Rechner aus Versehen sein Passwort gespeichert hat.

    Wo im Detail das Problem der Uebermittlung von Rufnummern-Hashes ohne Rueckmeldung liegen soll, erschliesst sich mir auch nicht.

  2. Re: Zwei-Wege-Authentifizierung aka "Anmeldebestätigungen"

    Autor: as (Golem.de) 22.11.12 - 13:33

    Hallo,

    knarf schrieb:
    --------------------------------------------------------------------------------
    > Leider verschweigt der Artikel die sehr nuetzliche Funktion der
    > Zwei-Wege-Authentifizierung aka "Anmeldebestätigungen".

    der Artikel "verschweigt" das nicht, es ist nur für das eigentliche Problem nicht relevant.

    > Wo im Detail das Problem der Uebermittlung von Rufnummern-Hashes ohne
    > Rueckmeldung liegen soll, erschliesst sich mir auch nicht.

    Es geht um das Einsammeln der Nummern ausschließlich aus Sicherheitsgründen. Das Unternehmen nutzt die Nummern aber auch für andere Zwecke ohne das für den Nutzer transparent zu machen (s. Hilfeeintrag).

    gruß

    -Andy (Golem.de)

  3. Re: Zwei-Wege-Authentifizierung aka "Anmeldebestätigungen"

    Autor: knarf 22.11.12 - 17:56

    as (Golem.de) schrieb:

    > knarf schrieb:
    > > Leider verschweigt der Artikel die sehr nuetzliche Funktion der
    > > Zwei-Wege-Authentifizierung aka "Anmeldebestätigungen".
    >
    > der Artikel "verschweigt" das nicht, es ist nur für das eigentliche Problem
    > nicht relevant.

    Ich halte es fuer relevant, da der Artikel das Problem so darstellt, als ob Facebook die Telefonnummer unter falschem Vorwand bzw. mit fragwuerdigem Sicherheitsnutzen abfragt. Und dem ist eben nicht so. (konkret: "In jedem Fall liegt die Nutzung der Telefonnummer aber nicht im Sicherheitsinteresse des Anwenders.")

    > > Wo im Detail das Problem der Uebermittlung von Rufnummern-Hashes ohne
    > > Rueckmeldung liegen soll, erschliesst sich mir auch nicht.
    >
    > Es geht um das Einsammeln der Nummern ausschließlich aus
    > Sicherheitsgründen. Das Unternehmen nutzt die Nummern aber auch für andere
    > Zwecke ohne das für den Nutzer transparent zu machen (s. Hilfeeintrag).

    Mindestens fuer den FreundeFinder wird sie benutzt, deshalb gibt es auch die Einstellung "Wer kann dich anhand der von dir angegebenen E-Mail-Adresse oder Telefonnummer finden?". Und dass "Anwendungen" Zugriff auf die Profildaten haben, ist ebenfalls bekannt.

    Der Hilfeeintrag ist jedoch in der Tat verbesserungswuerdig.

    Knarf

  4. Schwere Sicherheitslücke bei Facebook entdeckt bzgl. der Funktion "Anmeldebestätigungen"

    Autor: der-mali 25.01.13 - 11:23

    Hallo Herr Andy und das Golem-Forum!



    Ich habe bei Facebook eine schwere Sicherheitslücke entdeckt, was die so genannten "Anmeldebestätigungen" betrifft.

    Ich verwende bei Google erfolgreich die "Bestätigung in zwei Schritten", die dem genannten Facebook-"Sicherheits"-Feature entspricht.
    Bei Google funktioniert diese Art der Sicherheit, bei Facebook jedoch keinesfalls!


    Hier sind die Details:

    Ich wohne auf den Philippinen und wenn ich die Seite
    https://www.facebook.com/settings?tab=security
    ("Sicherheitseinstellungen") aufrufe, so ist bei mir die Zeile mit den Anmeldebestätigungen nicht vorhanden.
    Für eine lange Zeit dachte ich, vielleicht ist mein Konto ist noch nicht dafür eingerichtet und habe gewartet.

    Dann habe ich mehr und mehr Artikel über diese Anmeldebestätigungen im Internet gelesen und mich schon langsam verwundert, warum ich diese Funktion nicht nutzen kann.


    Daraufhin habe ich mir eine japanischen Proxy-Server gesucht, über denn ich dann im Firefox-Browser die genannte Sicherheitseinstellungen-Seite wieder aufgerufen habe:

    Und was ist passiert?

    Ich sah auf einmal die zusätzliche Zeile mit dem Anmeldebestätigungen in meinem, demselben, Facebook-Konto!

    Ich habe daraufhin die Anmeldebestätigungen eingerichtet und meine philippinische Handy-Nummer registriert, ebenso habe ich den Code Generator auf meinem Android Smart Phone eingerichtet und ahnte mein Facebook-Konto nun in Sicherheit.

    Da der Proxy-Zugang natürlich sehr langsam war, stellte ich den Firefox Browser wieder so um, daß ich keinen Proxy benötigte.

    Wiederum ging ich zur Facebook mit den "Sicherheitseinstellungen" und:
    DIE ANMELDEBESTÄTIGUNGEN WAREN WIEDER VERSCHWUNDEN!

    Ich löschte alle bekannten Geräte und aktiven Sitzungen, ebenso die Cookies auf meinen Laptops und Handys.

    ICH KONNTE MICH DENNOCH BEI FACEBOOK ANMELDEN OHNE DIE VERSPROCHENE ANMELDEBESTÄTIGUNG, MIT DER ICH MEIN KONTO IN SICHERHEIT WOG!

    Die erschreckende Erkenntnis daraus: selbst wenn Sie in Europa oder den USA das Gefühl haben, ein sicheres Facebook-Konto zu haben, werden Sie angeschmiert: jemand auf den Philippinen oder in einem anderen Entwicklungsland kann sich in Ihr Konto "nur" mit Hilfe des Paßwortes einloggen, OHNE die Anmeldung bestätigen zu müssen, wie es Ihnen Facebook vorspielt.

    Das Fazit: Facebook täuscht Sicherheit nur vor und täuscht uns, seine Nutzer, wieder mal alle!

    Ich hoffe, ich konnte mir mit diesem Bericht Gehör verschaffen.



    Mit freundlichen Grüßen,
    Thomas Will



    PS: Screenshots und weitere Informationen send ich Ihnen gerne per PM / E-Mail zu.

  5. Re: Schwere Sicherheitslücke bei Facebook entdeckt bzgl. der Funktion "Anmeldebestätigungen"

    Autor: knarf 25.01.13 - 14:07

    Krasse Wurst!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Wirecard Technologies GmbH, Aschheim bei München
  2. über Ratbacher GmbH, Stuttgart (Home-Office möglich)
  3. SUEZ Deutschland GmbH, Köln
  4. DATAGROUP Inshore Services GmbH, Berlin, Leipzig, Rostock

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. 96 Hours Taken 3 6,97€, London Has Fallen 9,97€, Homefront 7,49€, Riddick 7,49€)
  2. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)
  3. (u. a. The Complete Bourne Collection Blu-ray 14,99€, Harry Potter Complete Blu-ray 44,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Nintendo: Super Mario Run für iOS läuft nur mit Onlineverbindung
    Nintendo
    Super Mario Run für iOS läuft nur mit Onlineverbindung

    Bei langen Flugzeugreisen oder im Ausland läuft Super Mario Run nur mit Hindernissen: Nintendo hat wenige Tage vor der Veröffentlichung des Games für iOS bekanntgegeben, dass das Spiel immer eine aktive Onlineverbindung zu den Servern des Herstellers benötigt.

  2. USA: Samsung will Note 7 in Backsteine verwandeln
    USA
    Samsung will Note 7 in Backsteine verwandeln

    Wer sein Galaxy Note 7 immer noch nicht zurückgegeben hat, soll in den USA mit einer drastischen Maßnahme dazu gewungen werden: Samsung will das Laden des Akkus komplett unterbinden. Ein Netzbetreiber will dabei aber nicht mitmachen.

  3. Hackerangriffe: Obama will Einfluss Russlands auf US-Wahl untersuchen lassen
    Hackerangriffe
    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

    Hat Russland die US-Präsidentschaftswahl gehackt? Präsident Obama will untersuchen, ob fremde Nachrichtendienste zur Wahl von Donald Trump beigetragen haben. Der kommuniziert derweil weiter unverschlüsselt.


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13