Sicherheitsrisiko Sicherheitsfrage
12. Oktober 2008Man kennt es bestimmt: Bei der Registrierung bei einem Dienst muss oder kann man oft eine Sicherheitsfrage hinterlegen. Sollte man das Passwort vergessen, so kann man für seinen Account ein neues Passwort vergeben, sofern man die Sicherheitsfrage richtig beantwortet.
„Wie lautet Ihre primäre Vielfliegernummer?“, „Wie lautet Ihre Bibliotheksausweisnummer?“, „Wie lautet Ihre erste Telefonnummer?“, „Wie lautet der Name Ihres ersten Lehrers?“, „Wie lautet der zweite Vorname Ihres Vaters?“, „Wie hieß Ihr erstes Haustier?“ und „Wie lautet der Mädchenname Ihrer Mutter?“ – alles Fragen, die sehr persönlich erscheinen. Die Sicherheit liegt ja darin, dass nur man selbst die Antwort kennt, denkt man. Denn wenn man sich das ganze genauer überlegt, sind das alles keine besonderen Geheimnisse. Jeder im Bekanntenkreis könnte die Antwort wissen und auch für dritte sind die Antworten meist leicht recherchierbar. Vielleicht hat man die Antwort sogar schon mal in irgendeinem Zusammenhang irgendwo veröffentlicht.
Das interesante ist aber, dass diese Antwort den kompletten Passwortschutz aushebelt, da man nach dessen Eingabe einfach ein neues Passwort erstellen kann. Egal wie schwer das Passwort sein mag, diese leicht lösbaren Fragen sind teilweise, z.B. bei Google, verpflichtet. Da hilft nur eins: Zukünftig auf solche Sicherheitsfragen verzichten und falls dies nicht möglich ist, eine möglichst lange zufällige Zeichenkette eingeben, die noch komplexer als das eigene Passwort sein sollte und diese einfach vergessen. Lieber sollte man sich dafür das Account-Passwort besser merken oder irgendwo verschlüsselt hinterlegen.
Ergänzung: Natürlich ist es nicht überall gleich unsicher. Denn manche Anbieter senden zusätzlich noch einen Schlüssel per E-Mail an die registrierte E-Mail-Adresse. Das ist aber nicht immer der Fall und bei Google Mail auch nicht möglich, da man dort keine E-Mail-Adresse benötigt, um sich zu registrieren.