Sicherheitsfragen: Wer seine Passwörter auf Facebook postet

Das tut niemand? Doch: Bei vielen Online-Diensten kann jeder vorgeben, das Passwort vergessen zu haben. Dann trennt den Dieb nurmehr eine sogenannte Sicherheitsfrage von der Kontoübernahme: Wie heißt Ihr Lieblingshaustier? Jetzt genügt ein Blick in den Facebook-Stream und die Katze ist im Sack.

Dieser Beitrag ist mehr als 8 Jahre alt.
Bild: Florian Strohmaier, MittelstandsWiki

Gefährliche Hilfestütze für Vergessliche

Von Friedrich List

Viele Webdienste und Portale nutzen Sicherheitsfragen als ein zusätzliches Mittel, um Kundenkonten vor Übergriffen zu schützen. Und sie sollen Usern helfen, wieder Zugang zur ihrem Account zu bekommen, falls sie ihr Passwort vergessen haben. Leider zeigt eine Google-Studie, dass diese Fragen alles andere als sicher sind: Viele Antworten lassen sich leicht herausfinden – durch Raten oder durch schnelle Recherche in Blogs und sozialen Netzwerken. Das ist insofern praktisch, als erstaunlich viele Nutzer ihre eigenen Antworten nicht im Kopf behalten können.

Lektionen aus der Google-Studie

„Sicherheitsfragen sind seit Langem die Basis von Authentifizierung und Wiederzugang zum Online-Account“, schreiben die Autoren der Studie, Elie Burzstein und Ilan Caron auf Googles Blog für Online-Sicherheit. „Aber angesichts dieser Ergebnisse ist es für Anwender und Seitenbesitzer wichtig, noch einmal darüber nachzudenken.“ Anders gesagt: „Sicherheitsabfragen taugen nichts.“

Tatsächlich sind die Ergebnisse der Studie „Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google“ (2015) ernüchternd. Lautet die Frage im englischen Sprachraum „Was ist Ihr Lieblingsessen“, so haben Angreifer bereits im ersten Anlauf eine Chance von 19,7 %, richtig zu liegen. Denn bei vielen Amerikanern lautet die Antwort schlicht „Pizza“.

Das Bild wird noch trüber, wenn man liest, dass sich 40 % von Googles englischsprachigen Nutzern in den USA an die Antworten auf ihre Sicherheitsfragen gar nicht mehr erinnern konnten, wenn es darauf ankam. Zum Glück konnten sich 80 % dieser Nutzer an Reset-Codes erinnern, die ihnen per SMS geschickt worden waren. Und immerhin 75 % schafften das auch, wenn sie diesen Code per E-Mail erhalten hatten.

Praktischer Tipp
Relativ gute Sicherheitsabfragen sind immer solche, bei denen man immerhin freie Wahl von Frage und Antwort hat. Garry Scoville hat auf goodsecurityquestions.com eine Liste von Kriterien für die Antworten aufgestellt, die der Iamjames-Blog in leicht veränderter Form übernimmt. Die Begriffe sollten

  • leicht zu behalten (auch in fünf oder zehn Jahren),
  • nicht trivial (mindestens tausend mögliche Antworten, keine Automarken, Baureihen etc.),
  • nicht Social Data (keine Informationen, die man über Facebook, die Xing-Biografie oder andere Über-mich-Seiten eruieren kann),
  • einfach (ein oder zwei Wörter mit unstrittiger Schreibweise) und
  • stabil sein (Leibspeisen und dergleichen können sich ändern).

Der beste Tipp, der sich Usern geben lässt: den Sinn der Frage ignorieren und ein Reservepasswort als Antwort festlegen. Der beste Tipp für Admins: auf den Quatsch nach Möglichkeit verzichten.

Fazit: Zugang durch Nachschlagewissen

Sicherheitsabfragen schützen nicht vor Hackern (im Gegenteil). Sie schützen vor Gedächtnisschwäche – sie sind in erster Linie Kontowiederherstellungsabfragen: Leuten, die ihr Passwort vergessen, will man nicht ein zweites Passwort zumuten, sondern gibt ihnen Hilfestellung im ganzen Satz. Im Endeffekt, weil jeder Identitätsdieb ebenso behaupten kann, er habe das Passwort vergessen, ist diese Abfrage aber das letzte und schwächste Glied in der Security.

Burzstein und Caron empfehlen Google-Anwendern, ihre Passworte und ihre Sicherheitseinstellungen immer auf dem neuesten Stand zu halten. Dazu eignet sich der Google Security Checkup. Außerdem nutzt das Unternehmen Sicherheitsabfragen nur als letztes Mittel, um einen gesperrten Account wieder freizuschalten, insbesondere dann, wenn SMS-Text oder E-Mail-Adressen nicht funktionieren.

Allerdings darf man bei der Auswahl von Sicherheitsfragen nicht zu naiv vorgehen. Der Yahoo-Mail-Account der US-Politikerin Sarah Palin wurde 2008 geknackt, weil sie als Sicherheitsabfragen den Geburtstag, die Postleitzahl und „Wo lernten Sie ihren Lebensgefährten kennen?“ genutzt hatte. So etwas lässt sich mit ein bisschen Online-Recherche schnell herausfinden.

Friedrich-List-square.jpg

Friedrich List ist Journalist und Buch­autor in Hamburg. Seit Anfang des Jahr­hunderts schreibt er über Themen aus Computer­welt und IT, aber auch aus Forschung, Fliegerei und Raum­fahrt, u.a. für Heise-Print- und Online-Publikationen. Für ihn ist SEO genauso interessant wie Alexander Gersts nächster Flug zur Inter­nationalen Raum­station. Außerdem erzählt er auch gerne Geschichten aus seiner Heimatstadt.

Nützliche Links