c't 5/2017
S. 30
News
Passwort-Reset, Fake News, Firefox OS, WhatsApp

Präsidentschaftswahl in Frankreich: Medien gegen „Fake News“

Das Recherche-Netzwerk Bellingcat ist einer der Partner von CrossCheck.

Im Vorfeld der französischen Präsidentschaftswahl hat Facebook angekündigt, seine Maßnahmen gegen die Verbreitung eindeutiger Falschmeldungen nach den USA und Deutschland auch in Frankreich zu implementieren. Zudem haben mehrere Medien gemeinsam mit Google ein Projekt vorgestellt, das sich der Prüfung angezweifelter Meldungen im Netz widmen soll.

Das Projekt firmiert unter dem Namen CrossCheck und soll am 27. Februar starten. Google ist über sein News Lab an dem Projekt beteiligt. Neben der Nachrichtenagentur AFP nehmen etliche Medien, mehrere Investigativ-Plattformen und die französische Universität Sciences Po an CrossCheck teil. Facebook ist auch bei diesem Projekt mit an Bord. (jo@ct.de)

Endgültiges Aus für Firefox OS

Mozilla stellt die Arbeiten an seinem Mobilbetriebssystem Firefox OS ein. Die Stiftung hat das Team aufgelöst, das Firefox OS auf internetfähige Geräte bringen sollte. Mozilla hatte das Projekt erst vor vier Jahren auf dem Mobile World Congress 2013 vorgestellt. Damals konnte das Open-Source-Unternehmen Kooperationen mit zahlreichen großen Mobilfunkunternehmen vorweisen.

Nennenswerte Erfolge erzielte das vor allem auf Low-End-Geräten installierte Betriebssystem jedoch nur vorübergehend in einigen Schwellenländern. Zuletzt hatte Mozilla noch versucht, Firefox OS für Smart-TVs einzusetzen, aber außer einer Kooperation mit Panasonic ist dabei nicht viel herausgekommen. (jo@ct.de)

Facebook will Passwort-Reset via E-Mail ablösen

Passwort vergessen – kein Problem, man lässt sich einen Reset-Link an die registrierte E-Mail-Adresse schicken und schaltet den Zugang wieder frei. Dieses Verfahren ist aber aus verschiedenen Gründen unsicher. So fehlt bei Mails in aller Regel die Ende-zu-Ende-Verschlüsselung. Facebook-Ingenieure haben daher eine neue Form des Passwort-Resets vorgestellt, die sogenannte Delegated Recovery.

Wie Delegated Recovery funktioniert, lässt sich am besten am Beispiel von GitHub erklären. Das ist bislang der einzige Dienst, der dieses Verfahren nutzt. Zunächst generiert man bei GitHub ein Token und erklärt sich damit einverstanden, dass dieses Token in seinem Facebook-Account gespeichert wird. Hat man nun sein GitHub-Passwort verlegt, so loggt man sich bei Facebook ein und stößt den Recovery-Prozess an. Facebook übermittelt dazu das Token an GitHub. GitHub verifiziert die Echtheit des Tokens und gibt den Account wieder frei. Der ganze Prozess ist durch verschiedene kryptografische Maßnahmen gegen Angriffe geschützt (Details siehe c’t-Link).

Bei GitHub steht auch der Quelltext des Systems zum Herunterladen bereit. Da er Open Source ist, sollen auch andere Dienstleister als Zugangshelfer fungieren, ähnlich wie man sich jetzt bei vielen Diensten über Facebook, Twitter oder Google einloggen kann. (jo@ct.de)

Zwei-Faktor-Authentifizierung für WhatsApp

Die Zwei-Faktor-Authentifizierung ist optional; man aktiviert sie unter den Account-Einstellungen.

WhatsApp hat damit begonnen, eine Zwei-Faktor-Authentifizierung für alle Nutzer der App unter Android und iOS freizuschalten. Die Funktion soll WhatsApp-Konten vor Kaperung schützen. Es ist beispielsweise nicht möglich, die SIM-Karte einfach in ein anderes Gerät zu stecken, um Zugriff auf ein WhatsApp-Konto zu erlangen. Die Zwei-Faktor-Authentifizierung ist optional; sie wird unter „Einstellungen/Account/Verifizierung in zwei Schritten“ eingeschaltet. Der Nutzer legt dann einen sechsstelligen Zahlencode fest. Diesen fragt WhatsApp ab, sobald ein Konto auf einem neuen Smartphone eingerichtet wird. Zusätzlich kann man eine E-Mail-Adresse hinterlegen, über die sich die Zwei-Faktor-Authentifizierung wieder abschalten lässt. Diese Hintertür ist nützlich, wenn der Nutzer seinen Zahlencode vergessen haben sollte. Als Erinnerungshilfe fragt WhatsApp den Code regelmäßig ab. (dbe@ct.de)

Kommentieren