Zum Inhalt

Sicherheitsfragen beschränken Account-Sicherheit

Grauer SchlüsselWer sich auf diversen Internetseiten anmeldet, wird nicht selten dazu aufgefordert, eine sogenannte Sicherheitsfrage zu hinterlegen, dessen Antwort nur er selbst kennt.

Diese Art von Kennwortrestauration schränkt allerdings die Sicherheit von Benutzerkonten ein, statt sie zu erhöhen. Warum dem so ist, erklärt dieser Artikel.

Beschränkende Eigenschaften

Bekannte Antworten

Das erste Problem ist mitunter, dass die Sicherheitsfragen so gewählt  werden, dass auch andere Personen die Antwort kennen. Beispiele sind Fragen aus dem direkten Umfeld, welche auch andere, nahestehende Personen beantworten können:

  • Wie hieß dein/Ihr erstes Tier?
    Wissen sicherlich sogar entfernte Bekannte.
  • Marke und Modell erstes Auto?
    Ganz ehrlich, wenn das Auto nicht durchgängig in der Garage stand, dürfte die Information als öffentlich betrachtet werden.
  • Klassisch: Mädchenname der Mutter? 
    Die Standardfrage schlechthin. Leider genügt oft ein Blick bei Facebook, um Verwandtschaftsbeziehungen zu erfassen und damit die möglichen Nachnamen durchzugehen.

Vorgegebene Fragen

Leider hat man manchmal keine andere Möglichkeit, eine schwerere Frage zu wählen. Grund ist, dass die Seite keine Freitexteingabe der Frage erlaubt. Man wird quasi dazu gezwungen, seinen Account der öffentlichkeit Preis zu geben. Zudem beschränken sich die Seiten oftmals auf die oben genannten, einfachen Fragen. Selbst wenn sie das nicht tun, sind die vorgegebenen oftmals sehr einfallslos und einfach zu erraten.

Ersatzfragen auf Packstation.de
Ersatzfragen auf Packstation.de

Als Beispiel sind hier die Fragen auf Packstation.de zu sehen, dem Packstationsservice der Deutschen Post bzw. DHL. Die Fragen sind allesamt so einfach, dass Freunde und Verwandte diese sofort erahnen können. Selbst gute Bekannte werden sich nicht lange an solchen Fragen aufhalten.

Beschränkung der Zeichen

Teilweise schließt man sich mit den Fragen auch selbst aus. Einige Seiten erlauben nicht die Eingabe von Sonderzeichen. Sollte die Antwort auf eine Frage etwa »Piña Colada« heißen, wird man auf einigen Seiten das Eñe nicht eingeben können. Will man diese Frage später lösen, muss man sich an die Umschreibung erinnern. »Pinja Colada« oder »Pinia Colada« oder doch nur »Pina Colada«?

Social Engineering

Ein weitere, bereits angesprochene Schwachstelle ist das sogenannte Social Engineering. Es ist heutzutage ein Leichtes, Informationen über bestimmte Personen herauszufinden. Viele Personen tragen bei Facebook Verwandschaftsverhältnisse ein, die dann öffentlich zu sehen sind. Selbst wenn man diese Informationen nicht selbst einträgt, sind sie möglicherweise bei Personen aus der Freundesliste eingetragen oder gehen so aus der Freundesliste hervor.

Abhilfe

Um diese Sicherheitsbeschränkungen zu umgehen, gibt es einige Möglichkeiten – die man als Anwendungsentwickler oder als Anwender beachten kann.

Zweite E-Mail statt Frage

Das sicherste Verfahren ist sicherlich, statt einer Sicherheitsfrage das Senden des Kennwortes an eine zweite E-Mailadresse zu implementieren. Geht man davon aus, dass die Kennwörter für die E-Mailkonten gut genug gewählt sind (genug Entropie aufweisen), so ist dieses Verfahren wesentlich sicherer.

Google-Konten können eine zweite E-Mailadresse aufnehmen
Google-Konten können eine zweite E-Mailadresse aufnehmen

In einem Google-Konto ist etwa genau dieses möglich. Vergisst der Anwender sein Passwort, kann er es an eine zweite E-Mailadresse schicken lassen. Das ist unter den oben beschriebenen Umständen wesentlich sicherer.

Zwei Fragen statt einer Frage implementieren

Die Implementierung, den Anwender zwei statt nur einer Frage beantworten zu lassen, erhöht  die Sicherheit um ein Vielfaches. Die Wahrscheinlichkeit, dass ein Cracker (Datendieb) beide Fragen beantworten kann ist weniger wahrscheinlich, wie die Kenntnis der Antwort auf nur eine Frage.

Freitextfragen erlauben

Der Anwendungsentwickler sollte es erlauben, dass der Anwender seine eigenen Fragen eingeben kann – am Besten in Kombination mit dem vorigen Punkt, zwei Fragen beantworten zu müssen. Der Anwender kann hier geschickterweise eine Frage wählen, die mit Sicherheit nur er beantworten kann.

Beispiele hierfür sind Fragen, die keine Eindeutige Antwort zulassen:

  • Welches Mädchen aus deinem Studiengang war das hübscheste?
  • Welcher Dozent hat mir am besten/schlechtesten gefallen?
  • Welches war das Killer-Feature in meinem ersten Auto?
  • Welchen Kilometerstand hatte das Auto am 03.07.2008
    Vorsicht: Blöd, wenn ihr eure Tankdaten bei Seiten wie etwa Spritmonitor.de eintragt!
  • Zweitliebster Urlaubsort (oder Reiseziel)

Wirklich sicher sind auch diese Fragen nicht – aber sicherlich schwieriger, als die vorgegebenen Fragen einiger Internetseiten.

Zwei Fragen in einem Textfeld

Stößt man als Anwender auf eine Seite mit Zwangsfrage, bleibt einem bei Freitexteingabe noch ein Trick: Man gibt einfach beide Fragen als eine Frage ein. Beispiel:

  • Mädchenname der Mutter / Nachname der ersten Freundin
  • Straßenname 2005, Marke u. Modell des ersten Musikinstruments

Hierbei gilt zu beachten: Man muss sich genau merken, wie die Antworten eingeben wurden:

  • Meier / Müller oder
    Meier – Müller oder
    Meier, Müller?
  • Leinestraße, Yamaha XYZ oder
    Leine Straße / Yamaha Xyz oder
    Leinestr., XYZ von Yamaha?
Ersatzfrage des Dienstes Internetmarke
Ersatzfrage des Dienstes Internetmarke

Wie im Bild zu sehen, lässt sich diese Methode etwa bei der Seite Internetmarke der Deutschen Post nutzen. Leider ist das Textfeld für die Frage begrenzt, wie im Bild etwas zu sehen ist (die Schwärzung ist absichtlich ungleichmäßig). Als Tipp würde ich geben, die Antworten im selben Format (etwa Kommagetrennt) einzugeben, wie auch die Fragen.

Fazit

Viele Internetseiten beschränken mit Sicherheits- oder Ersatzfragen die Sicherheit des Benutzerkontos erheblich und ohne ersichtlichen Grund. Diese Fragen wiegen viele Benutzer in falscher Sicherheit. Besonders übel ist das Beschränken der Auswahlmöglichkeiten oder gar der Zeichen oder Textlänge im Antwortfeld. Bei diesen Internetdiensten sollte man sich möglicherweise erst gar nicht anmelden.

Beispiele für unsichere Seiten sind:

Besonders auffällig ist, dass Internetmarke und Packstation sich unterschiedlich verhalten – obwohl die DHL doch ein Tochterunternehmen der Deutschen Post ist. Zwar ist die Sicherheitsfrage bei der Internetmarke etwas besser gelöst, aber dafür darf das Passwort keine Sonderzeichen enthalten. Schade, Fail!

Fakt ist jedoch: Eine Sicherheitsfrage wird auch mit mehreren Antworten nie die Sicherheitsbeschränkungen aufheben – ist es doch eine Antwort, die ewig gleich bleiben wird. Eine Studie von Microsoft belegt auf wissenschaftlichem Niveau genau dieses:

Published inBasiswissenInternetseiten vorgestellt

6 Comments

  1. 7ero 7ero

    Grundsätzlich muss man bei der Sicherheitsfrage ja gar nicht auf die Frage antworten, bei mir isses meistens ein md5 hash. (Man sollte sich jedoch die Frage und die Antwort dann irgendwo vermerken 😉 )

  2. Ich kann die Liste noch um eine weitere Seite ergänzen: YAHOO.
    Die bieten neben den Standardfragen noch die Möglichkeit eigene Fragen zu kreieren. Ich mach das bei den Antworten eigentlich immer, so dass ich Sinnlostext eingebe.

  3. […] betreffenden Informationen heraus zu bekommen. Und ich bin nicht der Einzigste der sich Gedanken zur Sicherheit macht. Eingeloggt hatte ich mich nur, weil Yahoo nicht mit Daten umgehen kann. Gut das […]

  4. Ich bin seit gut 2 Monate auf Facebook,und diese Seite habe ich wegen meine Musik gegründet,jetzt wird behauptet das ich nicht diese Person bin,immer wenn ich mich Anmelden möchte kommen Sicherheit Fragen mit Bilder wo ich erkennen soll welche Namen Markiert sind,wie soll ich das wissen,es sind schon so vieler Bilder und das kann man nicht wissen,und jedes mal geht es nach gut 6-7 Fragen nicht mehr weiter,ich habe ein Feedback bei Facebook geschrieben,und erklärt das ich diese Person bin.leider ohne Antwort.Es bist sehr schade ich habe gute Freunde gefunden wo wir uns über Gothic Metal austauschen können.leider ist jetzt so blöd,und wenn ich nicht mehr die bekomme,weil Facebook zu blöd,verliere ich alle schönen Fotos und Clips die ich auf meine Seite gepostet habe..Ich bitte um schnelle Hilfe,ihr könnt mich anschreiben unter andreassaylin50@googlemail.com..

    • Benjamin Marwell Benjamin Marwell

      Hallo „MephistoBlack“,

      wenn du dich als „Mephisto Black“ angemeldet hast (https://www.facebook.com/mephisto.black), dann hast du dich falsch angemeldet. Alles was keine Person ist, muss eine Seite sein!
      Lies dazu auch diesen Artikel: Kommerzielle Profile auf Facebook.

      Die Abhilfe: Das Profil in eine Seite umwandeln. Deine „Freunde“ werden dadurch zu „Fans“ (die „gefällt mir“ geklickt haben). Wie das geht, steht im oben verlinkten Artikel im Abschnitt Profile in Seiten umwandeln. Da ist ein Link, dem du folgst.

    • Benjamin Marwell Benjamin Marwell

      Um es nochmal zu verdeutlichen:
      Du brauchst zwei Profile bzw. genauer: eine Seite, ein Profil:

      * Ein Profil „Andreas x“ mit deinem Echtnamen – den Echtnamen fordert Facebook.
      * Eine Seite „Mephisto Black“ – diese kann „gemocht werden“ (Like)

      Facebook behauptet also zurecht, dass du nicht Mephisto Black bist. Das ist ja nicht dein echter Name, sondern dein Band- oder Künstername. Dafür brauchst du eine Seite. Wenn du noch Freunde auf Facebook als normale Person haben möchtest, brauchst du dazu ein zweites Profil.

      Aber keine Angst – ein normales Profil-Benutzerkonto kann mehrere Seiten verwalten. Du brauchst also keine zwei Logins.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.