Skip to content

Wie lautet die Antwort auf Ihre Sicherheitsfrage?

Da predigen wir seit über zwanzig Jahren, dass ein Userpasswort möglichst nicht aus dem Kontext des Benutzers erratbar sein darf. Da verbieten wir Geburtsdaten, Namen von Verwandten und/oder Haustieren, Lieblingsfarben, Geburtsorte, Länder, Früchte etc und sorgen dafür, dass die Passworte unserer Benutzer eher einem gemixten ABC-Cocktail als wirklichen Worten ähneln.

Und dann kommen neun von zehn Webdesignern daher und bauen in Ihre Applikationen eine "Sicherheitsfrage" ein, die man beantworten muss, wenn man das verdammte vergessene Passwort zurücksetzen möchte. Bei den meisten Webapplikationen kann man sich nichtmal aussuchen, welche Frage man in diesem Fall gestellt haben möchte, sondern man bekommt eine nicht veränderbare Auswahl vorgesetzt. Hier die Möglichkeiten aus einer Webapplikation meiner Kranken Versicherung:

  • Wie heißt Ihr Haustier?
  • In welchem Ort sind Sie geboren?
  • Welche Farbe ist Ihre Lieblingsfarbe?
  • Welches Auto ist Ihr Lieblingsauto?
  • Wie lautet der Vorname Ihrer Mutter?
  • Welches Land ist Ihr Lieblingsland?
  • Welche Stadt ist Ihre Lieblingsstadt?
  • Welche Frucht mögen Sie am liebsten?
  • Welche Musikgruppe hören Sie am liebsten?
  • Welches Tier mögen Sie am liebsten?

Da fasst man sich doch an den Kopf, oder? Wenn man also als Angreifer das Passwort des gewünschten Hacking-Opfers zurücksetzen will, reicht es Dinge zu wissen, von denen man seit zwanzig Jahren weiß, dass sie nicht für die Authentifikation geeignet sind, weil sie eben leicht ratbar beziehungsweise allgemein bekannt sind. De facto könnte man somit alle Passwortregeln wieder abschaffen und den Benutzern gleich erlauben, ein Passwort zu benutzen, das sie nicht bei der nächsten Gelegenheit wieder vergessen.

Mir fehlt die Phantasie, um mir auszudenken, was sich der erste Snowboarder gedacht haben muss, als er auf die geniale Idee mit der Sicherheitsfrage kam, um die Hotline zu entlasten. So bleibt nur die Vermutung, dass er einfach gar nicht gedacht hat.

Trackbacks

Schülers Blog on : Sicherheitsfrage und die Risiken

Show preview
Gerade die letzten Tagen wird in den Medien aktuell über die Problematik der Sicherheitsfragen berichten und man bekommt den Eindruck einer “neuen Bedrohung”. Dabei ist das Thema schon relativ alt und wer die Suchmaschine Google bem...

Schülers Blog on : Sicherheitsfrage und die Risiken

Show preview
Gerade die letzten Tagen wird in den Medien aktuell über die Problematik der Sicherheitsfragen berichten und man bekommt den Eindruck einer “neuen Bedrohung”. Dabei ist das Thema schon relativ alt und wer die Suchmaschine Google bemüht wird...

Comments

Display comments as Linear | Threaded

Jörg on :

Beim Projekt $nebendran ist die Hotline seit Einführung der Passwortfragen noch mehr belastet. "Was weiss denn ich, was vor 5 Monaten mein Lieblingsessen war ..."

anonymous coward on :

Bei uns gibt's auch so eine "Sicherheitsfrage", die ebenfalls dazu dient, ein neues Paßwort zu setzen, wenn man das alte vergessen hat. Im Unterschied zur Eingabe des Paßworts kann man diese Sicherheitsfrage aber nicht im Laufe der Zeit mehr oder weniger beliebig oft beantworten, sondern jeder Versuch der Paßwortänderung auf diese Art wird registriert und das Ganze geht nur telefonisch. Und nur wenn die (online nicht einsehbare) Frage am Telefon sofort richtig beantwortet wird, wird auch das Paßwort geändert, sonst nicht. Das halte ich insgesamt eigentlich für einen ganz guten Kompromiss zwischen Kundenservice und Sicherheit.

Jens Link on :

Ein bekannter Hersteller von Netzwerkkomponenten will mich auch seit einiger Zeit davon ueberzeugen mein Passwort zu aendern. Dazu muesste ich 2 dieser "Sicherheitsfragen" beantworten.

Da ich Username/Passwort eh ueber eine HTTP-Seite eingeben muss, lebe ich damit, mein Passwort nicht zu wechseln. Was soll der Schiess auch,

Hilko Bengen on :

Wie lautet der Mädchen(!)name Ihrer Mutter? -- Adele

Joerg on :

Den Sinn solcher Sicherheitsfragen kann man vielleicht noch nachvollziehen, doch besteht doch immer die Gefahr, dass die hier zu erfragenden Sachen irgendwo bereits veröffentlich wurden, man also hier auch keinerlei Passwortsicherheit hat. Da sollten die Vergesslichen unter uns dann wohl doch eher ihre Passwörter notieren und irgendwo sicher verstauen, als sich mit solchen Sicherheitsfragen rumzuquälen. Obwohl die Alternative, die oben beschrieben wurde, auch nicht verkehrt wäre.

Maik on :

Bei den meisten Systemen ist es aber nicht so, dass die Kenntnis der Antwort auf die Sicherheitsfrage reicht, sondern es wird zusätzlich ein Ping per eMail, Telefon oder SMS gemacht (Link zumailen den man anklicken muss, Code per SMS schicken der eingetippt werden muss). Die Kombination aus „kennt die Antwort“ und „hat Zugriff auf das Postfach/das Handy“ dürfte für viele Zwecke sicher genug sein.

fireba11 on :

meine lieblingsvariante ist wo man die "sicherheitsfrage" nicht weglassen kann ... da stehen dann normal ca 40 zeichen im stil von katze-auf-der-tastatur drin weil mans ja ausfüllen muss ^^

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options