Gerade eben fällt mir bei Google"s Website Optimizer folgender Satz wieder auf, der schon bei der Anmeldung zu Google Analytics bestätigt werden musste:
Von Zeit zu Zeit werden sich Mitarbeiter von Google (oder Mitarbeiter von verbundenen Unternehmen von Google) in den Service unter Ihrem Passwort zu dem Zweck einloggen, den Service in Stand zu halten oder zu verbessern, einschließlich, um Sie bei technischen Problemen oder Abrechnungsfragen zu unterstützen.
Gut, über die Tatsache an sich sollte man evtl. auch mal etwas genauer nachdenken. Was mich aber im Moment beschäftigt ist die Frage, wie Google dann die Passwörter seiner User speichert.
Die Worte "unter Ihrem Passwort" lassen mich darauf schließen, dass Google die Passwörter entweder
- gar nicht verschlüsselt … oder
- so verschlüsselt, dass sie auch wieder entschlüsselt werden können
Variante 1 ist schwer vorstellbar, aber man weiß ja nie genau. Soll natürlich auch keine Unterstellung sein, aber die Formulierung in den Bestimmungen macht schon etwas stutzig.
Variante 2 halte ich für wahrscheinlicher. Aber auch hier stellt sich dann die Frage: Wie sicher ist das? Wenn es entschlüsselt werden kann, wird wohl keine mathematische Einwegfunktion wie MD5, SHA1 o. ä. genutzt. Zweifelsohne arbeiten bei Google sehr helle Köpfe, jedoch wäre die Entschlüsselung (und damit die Umkehrung) einer solche Eingwegfunktion wohl eine Sensation (zumindest zum heutigen Zeitpunkt). Demnach könnte es ja "einfach" ein eigener Algorithmus sein, der das jeweilige Passwort ver- und entschlüsseln kann.
Natürlich gäbe es auch noch die Option, dass sich Google unabhängig vom Benutzerpasswort Zugang zum Kundenkonto verschafft. Das würde jedoch nicht mit den Bestimmungen konform sein, die man akzeptiert und bestätigt.
