Wer sich auf diversen Internetseiten anmeldet, wird nicht selten dazu aufgefordert, eine sogenannte Sicherheitsfrage zu hinterlegen, dessen Antwort nur er selbst kennt.
Diese Art von Kennwortrestauration schränkt allerdings die Sicherheit von Benutzerkonten ein, statt sie zu erhöhen. Warum dem so ist, erklärt dieser Artikel.
Beschränkende Eigenschaften
Bekannte Antworten
Das erste Problem ist mitunter, dass die Sicherheitsfragen so gewählt werden, dass auch andere Personen die Antwort kennen. Beispiele sind Fragen aus dem direkten Umfeld, welche auch andere, nahestehende Personen beantworten können:
- Wie hieß dein/Ihr erstes Tier? Wissen sicherlich sogar entfernte Bekannte.
- Marke und Modell erstes Auto? Ganz ehrlich, wenn das Auto nicht durchgängig in der Garage stand, dürfte die Information als öffentlich betrachtet werden.
- Klassisch: Mädchenname der Mutter? Die Standardfrage schlechthin. Leider genügt oft ein Blick bei Facebook, um Verwandtschaftsbeziehungen zu erfassen und damit die möglichen Nachnamen durchzugehen.
Vorgegebene Fragen
Leider hat man manchmal keine andere Möglichkeit, eine schwerere Frage zu wählen. Grund ist, dass die Seite keine Freitexteingabe der Frage erlaubt. Man wird quasi dazu gezwungen, seinen Account der öffentlichkeit Preis zu geben. Zudem beschränken sich die Seiten oftmals auf die oben genannten, einfachen Fragen. Selbst wenn sie das nicht tun, sind die vorgegebenen oftmals sehr einfallslos und einfach zu erraten.
Als Beispiel sind hier die Fragen auf Packstation.de zu sehen, dem Packstationsservice der Deutschen Post bzw. DHL. Die Fragen sind allesamt so einfach, dass Freunde und Verwandte diese sofort erahnen können. Selbst gute Bekannte werden sich nicht lange an solchen Fragen aufhalten.
Beschränkung der Zeichen
Teilweise schließt man sich mit den Fragen auch selbst aus. Einige Seiten erlauben nicht die Eingabe von Sonderzeichen. Sollte die Antwort auf eine Frage etwa »Piña Colada« heißen, wird man auf einigen Seiten das Eñe nicht eingeben können. Will man diese Frage später lösen, muss man sich an die Umschreibung erinnern. »Pinja Colada« oder »Pinia Colada« oder doch nur »Pina Colada«?
Social Engineering
Ein weitere, bereits angesprochene Schwachstelle ist das sogenannte Social Engineering. Es ist heutzutage ein Leichtes, Informationen über bestimmte Personen herauszufinden. Viele Personen tragen bei Facebook Verwandschaftsverhältnisse ein, die dann öffentlich zu sehen sind. Selbst wenn man diese Informationen nicht selbst einträgt, sind sie möglicherweise bei Personen aus der Freundesliste eingetragen oder gehen so aus der Freundesliste hervor.
Abhilfe
Um diese Sicherheitsbeschränkungen zu umgehen, gibt es einige Möglichkeiten - die man als Anwendungsentwickler oder als Anwender beachten kann.
Zweite E-Mail statt Frage
Das sicherste Verfahren ist sicherlich, statt einer Sicherheitsfrage das Senden des Kennwortes an eine zweite E-Mailadresse zu implementieren. Geht man davon aus, dass die Kennwörter für die E-Mailkonten gut genug gewählt sind (genug Entropie aufweisen), so ist dieses Verfahren wesentlich sicherer.
In einem Google-Konto ist etwa genau dieses möglich. Vergisst der Anwender sein Passwort, kann er es an eine zweite E-Mailadresse schicken lassen. Das ist unter den oben beschriebenen Umständen wesentlich sicherer.
Zwei Fragen statt einer Frage implementieren
Die Implementierung, den Anwender zwei statt nur einer Frage beantworten zu lassen, erhöht die Sicherheit um ein Vielfaches. Die Wahrscheinlichkeit, dass ein Cracker (Datendieb) beide Fragen beantworten kann ist weniger wahrscheinlich, wie die Kenntnis der Antwort auf nur eine Frage.
Freitextfragen erlauben
Der Anwendungsentwickler sollte es erlauben, dass der Anwender seine eigenen Fragen eingeben kann - am Besten in Kombination mit dem vorigen Punkt, zwei Fragen beantworten zu müssen. Der Anwender kann hier geschickterweise eine Frage wählen, die mit Sicherheit nur er beantworten kann.
Beispiele hierfür sind Fragen, die keine Eindeutige Antwort zulassen:- Welches Mädchen aus deinem Studiengang war das hübscheste?
- Welcher Dozent hat mir am besten/schlechtesten gefallen?
- Welches war das Killer-Feature in meinem ersten Auto?
- Welchen Kilometerstand hatte das Auto am 03.07.2008 Vorsicht: Blöd, wenn ihr eure Tankdaten bei Seiten wie etwa Spritmonitor.de eintragt!
- Zweitliebster Urlaubsort (oder Reiseziel)
Wirklich sicher sind auch diese Fragen nicht - aber sicherlich schwieriger, als die vorgegebenen Fragen einiger Internetseiten.
Zwei Fragen in einem Textfeld
Stößt man als Anwender auf eine Seite mit Zwangsfrage, bleibt einem bei Freitexteingabe noch ein Trick: Man gibt einfach beide Fragen als eine Frage ein. Beispiel:
- Mädchenname der Mutter / Nachname der ersten Freundin
- Straßenname 2005, Marke u. Modell des ersten Musikinstruments
Hierbei gilt zu beachten: Man muss sich genau merken, wie die Antworten eingeben wurden:
- Meier / Müller oder Meier - Müller oder Meier, Müller?
- Leinestraße, Yamaha XYZ oder Leine Straße / Yamaha Xyz oder Leinestr., XYZ von Yamaha?
Wie im Bild zu sehen, lässt sich diese Methode etwa bei der Seite Internetmarke der Deutschen Post nutzen. Leider ist das Textfeld für die Frage begrenzt, wie im Bild etwas zu sehen ist (die Schwärzung ist absichtlich ungleichmäßig). Als Tipp würde ich geben, die Antworten im selben Format (etwa Kommagetrennt) einzugeben, wie auch die Fragen.
Fazit
Viele Internetseiten beschränken mit Sicherheits- oder Ersatzfragen die Sicherheit des Benutzerkontos erheblich und ohne ersichtlichen Grund. Diese Fragen wiegen viele Benutzer in falscher Sicherheit. Besonders übel ist das Beschränken der Auswahlmöglichkeiten oder gar der Zeichen oder Textlänge im Antwortfeld. Bei diesen Internetdiensten sollte man sich möglicherweise erst gar nicht anmelden.
Beispiele für unsichere Seiten sind:- Packstation von DHL http://www.packstation.de/
- Internetmarke (Briefmarke zum selbst Drucken) der Deutschen Post https://internetmarke.deutschepost.de/
- Bahn.de - Siehe Artikel vom LawBlog http://www.lawblog.de/index.php/archives/2012/06/05/kniffelige-fragen-auf-bahn-de/
Besonders auffällig ist, dass Internetmarke und Packstation sich unterschiedlich verhalten - obwohl die DHL doch ein Tochterunternehmen der Deutschen Post ist. Zwar ist die Sicherheitsfrage bei der Internetmarke etwas besser gelöst, aber dafür darf das Passwort keine Sonderzeichen enthalten. Schade, Fail!
Fakt ist jedoch: Eine Sicherheitsfrage wird auch mit mehreren Antworten nie die Sicherheitsbeschränkungen aufheben - ist es doch eine Antwort, die ewig gleich bleiben wird. Eine Studie von Microsoft belegt auf wissenschaftlichem Niveau genau dieses:
- Password reminders: hard to remember, but easy to hackhttp://arstechnica.com/science/2009/05/backup-authentication-info-easy-to-guess-hard-to-remember/