Sicherheitsfragen – Sichere oder unsichere Passwortfragen? (33)

Sicherheitsfragen begegnen Dir überall. Aber was haben Passwortfragen wie

  • „Was ist der Name deines ersten Haustieres?“,
  • „Was war das erste Konzert, auf dem du warst?“ oder
  • „Auf welchem Typ von Auto hast du fahren gelernt?“

mit Sicherheit und Privatsphäre zu tun? Du wirst überrascht sein, gut Dich die richtigen Antworten vor Gefahren im Internet schützen.


Und ich zeige Dir mit einem schönen Beispiel, dass aus diesen Fragen reale Gefahren resultieren.


Wir schauen uns an,

  • wie verwendest Du Sicherheitsfragen?
  • Was ist die Gefahr, die daraus erwächst?
  • Und natürlich wie immer, wie kannst Du Sicherheitsfragen so verwenden, dass Du sicher bist



Subscribe on Android



Wofür braucht man Sicherheitsfragen?


Im Wesentlichen gibt es zwei Anwendungen für Sicherheitsfragen:

  • Du hast tatsächlich dein Passwort vergessen haben und kannst auf deine E-Mail nicht mehr zugreifen. Dann ist die Sicherheitsfrage zum Beispiel sowas in der Art von „Wie hieß dein erstes Haustier?“, dann ist das so quasi dein Super-Passwort, um trotzdem noch an deinen Account zu kommen. Das heißt, so eine Antwort wie Puschel ist dann wirklich dein Generalschlüssel.
  • Finanzdienstleistern wollen manchmal verifizieren dass du wirklich du bist, werden manchmal solche Sicherheitsfragen zwischendurch noch mal gestellt.

Aber im Wesentlichen sind Sicherheitsfragen entweder eine zweite Möglichkeit der Identifikation oder ein Generalschlüssel, wenn alles andere nicht mehr funktioniert.


Was ist die Gefahr schlechter Sicherheitsfragen?


Daraus erwächst natürlich jetzt auch die Gefahr.

Die Gefahr ist, weiss jemand die Antwort auf deine Sicherheitsfrage, dann kann er ohne dein Passwort, ohne deine E-Mail, auf den Account zugreifen.

Der Kriminelle wird

  • versuchen sich einzuloggen,
  • dann auf Passwort vergessen, auf meine E-Mail kann ich nicht mehr zugreifen,

und dann wird typischerweise diese Sicherheitsfrage gestellt. Und wenn man dann die Antwort auf diese Sicherheitsfrage weiß, dann kommt man typischerweise in diesem Verifikationsprozess weiter und kann gegebenenfalls an diesen Account rankommen.

Aber das ist nicht nur online unter Umständen ein Problem. Auch manche Telekom Provider oder Versicherungen wollen, wenn man bei denen telefonisch irgendwas verändert, irgendwas ausmacht, wollen die so zum Datenabgleich immer noch mal so eine Überprüfung haben. Das ist dann typischerweise die Adresse oder zum Beispiel das Geburtsdatum.


Von wem geht denn die Gefahr von Passwortfragen aus?


Die Frage ist natürlich, wer ist es denn unter Umständen, der uns da irgendwie was Böses möchte? Und natürlich, klar, der Kriminelle, der uns durch alle Folgen der Datenwache hindurch immer wieder verfolgt, kann natürlich ein Interesse daran haben deine Sicherheitsfrage zu knacken, um an deinen Account zu kommen.

Da zeige ich euch nachher auch noch ein schönes Beispiel.

Aber in dem Fall kann es auch vielleicht noch ein ganz anderer Schritt sein von Leuten, die du vielleicht gar nicht mal so unbedingt als Kriminelle einstufen würdest. Leute, die dir in irgendeiner Form nahestehen und an deinen Account wollen, die dir was Böses wollen.


Nicht nur Kriminelle sind eine Gefahr


Das können gar nicht mal so gute „Freunde“ sein, aber das kann zum Beispiel auch dein Ex-Partner, deine Ex-Partnerin sein, wenn die Beziehung auseinander geht. Je nachdem, was ihr da für einen Rosenkrieg abfeiert, kann das unter Umständen natürlich schon Begehrlichkeiten wecken, was E-Mail-Accounts, Facebook-Profile etc. angeht.


Antworten auf Passwortfragen sind leicht zu erraten oder zu recherchieren


Und wie gesagt, wer die Sicherheitsfrage beantworten kann, schafft es typischerweise, Kontrolle über den Account zu erlangen.

Jetzt ist es so, dass typischerweise diese Antworten auf die Sicherheitsfragen „Wie hieß dein erstes Haustier?“, „Wie hieß deine erste Lehrerin?“ relativ leicht zu erraten sind.


Schon Dein Wohnort kann Dich verraten


Es gibt eine relativ alte Studie, dass 17 Prozent der Sicherheitsfragen erraten wurden, wenn Leute einem Menschen vorgestellt wurden, den sie vorher gar nicht kannten, und 28 Prozent aller Sicherheitsfragen konnten beantwortet werden, wenn es bessere Bekannte waren.

Also ein Drittel der Sicherheitsfragen, nur wenn man vielleicht so eine Idee hat aus welcher Stadt jmd kommt. „Hey, aus welcher Stadt kommt der, hm, was ist dein liebstes Fußballteam?“, na ja, dann wäre das vermutlich relativ naheliegend irgendwann.


Und Social Media hilft auch – den Kriminellen


Aber es gibt natürlich noch andere Quellen, um an diese Informationen zu kommen, um Sicherheitsfragen beantworten zu können.

Wenn du auf Facebook ein Bild von deinem Haustier postest und irgendwie drunter schreibst, dass es Puschelhasi oder sonstwie heißt, dann ist das natürlich eine Sache. Wenn das aber dann irgendwann mal die Antwort auf eine Sicherheitsfrage ist, dann steht die Information halt im Netz und kann recherchiert werden.

Genauso gibt es immer wieder Post mit „Hey, erinnerst du dich an dein erstes Auto?“, „Erinnerst du dich an dein erstes Rockkonzert?“. Wenn solche Postings dann mit tausenden von Kommentaren versehen werden und jeder schreibt da seinen Senf drunter … Wenn dann der Kriminelle einen Account knacken will sind solche Sammlungen gern genommen.


Dein Geburtstag ist kein Sicherheitsmerkmal


Wenn Versicherungen zum Datenabgleich nach dem Geburtstag fragen, guckt man halt mal auf irgendwelchem Social Media nach oder wahlweise Webseiten zur Ahnenforschung, wo Geburtsdaten natürlich draufstehen. Solche Sachen sind ja kein wirkliches Sicherheitskriterium, wenn die Informationen öffentlich und weit verbreitet sind.


Quizze sind (wieder mal) eine Gefahr


Dann gibt es natürlich noch viele Quizze, die viele persönliche Fragen stellen. Halt auch solche Fragen, die gerne als Sicherheitsfragen genommen werden. Diese Quizze sammeln Daten über Euch, um euch besser bewerben zu können, besser manipulieren zu können.

Aber natürlich sind solche Quizze, wenn sie mal beantwortet wurden, ein Super-Pool, um Sicherheitsfragen zu knacken.

Denn am Ende können Daten geklaut werden. Das Lieblingsbeispiel in diesem Podcast ist ja Yahoo!, 3 Milliarden Accounts geklaut, oder sich haben klauen lassen.


Sicherheitsfragen & Antworten werden geklaut


Und in diesen Accounts waren halt nicht nur E-Mail-Adressen und Passwörter, nein, da waren auch Sicherheitsfragen bei und die dazugehörigen Antworten, mal verschlüsselt, mal nicht verschlüsselt. Das heißt, wenn du da jetzt einen Datensatz von 3 Milliarden Sicherheitsfragen und die dazugehörigen Antworten hast, herzlichen Glückwunsch, das ist ja schon mal eine ganz schöne Ecke, damit kann man ja schon was anfangen.

Wenn dein erstes Haustier immer auf jeder Webseite Puschel heißt, dann hat man unter Umständen mit der Frage und Antwort ein bisschen verloren.


Ist das wirklich eine Gefahr?


Jetzt könnt ihr euch aber natürlich denken, okay, vielleicht hat der Mitch jetzt gerade mal wieder so ein bisschen die Paranoia für sich gepachtet, das, was der da erzählt, das passiert doch im wahren Leben überhaupt nicht. Wer sollte das denn machen? Und bei wem?

Nun zum Beispiel bei Sarah Palin, die bekam nämlich irgendwann ihr E-Mail-Konto geknackt. Wobei Yahoo! In dem Fall nicht mal was dafür kann.

Das Witzige ist, der Hacker hat das sehr schön mitgeschrieben, protokolliert und auf einem Messageboard veröffentlicht. Der hat halt gesagt, er habe 45 Minuten gebraucht mehr oder weniger mit Wikipedia und Google. Eine Dreiviertel Stunde um die Antworten auf die Passwortfragen zu finden.

Was sehr einfach war, war wohl Geburtsdatum und Postleitzahl von Palin rauszukriegen, weil Geburtsdatum, klar, das ist natürlich bei Prominenten dann total einfach zu finden auf Wikipedia.

Aber auch die Postleitzahl, sie hat wohl nur an zwei Orten gewohnt, das waren beides Käffer, mit je nur einer Postleitzahn. Läuft!

Ein bisschen länger hat er wohl gebraucht, um herauszufinden, wo sie und ihr Mann sich kennengelernt haben. Dann hat er herausgefunden, das war an der High School, weil es auch irgendwelche Bilder davon gab.

Dann hat er ein paar Schreibweisen der High School ausprobiert und zack war der E-Mail-Account seiner.

Das heißt, das passiert auch im realen Leben. Gut, okay, in dem Fall war es jetzt so, wenn ihr euch den Artikel darüber anschaut, dann findet ihr auch ein Foto von ihm, also so richtig gut geheim gehalten hat er es scheinbar nicht. Aber solche Sachen passieren und solche Sachen können überall passieren.


Wie kannst Du Dich schützen?


Aber man kann Sicherheitsfragen auch sicher nutzen. Und wenn ihr euch vorstellt, dass eine Sicherheitsfrage im Prinzip ein Super-Passwort für euern Account ist, dann ist die Lösung eigentlich schon klar:

Wie nutzen wir Sicherheitsfragen richtig? Genauso wie ein Passwort.

Deshalb gucken wir uns noch mal die 3 goldenen Regeln für Passwörter an:

  • Nie ein Passwort doppelt verwenden. Eine Sicherheitsfrage, was war dein erstes Haustier, die ihr immer mit Puschel beantwortet, das ist keine gute Idee, weil wenn ein Account geknackt, alle Accounts geknackt.
  • Dann sollte die Antwort zufällig sein. Also Haustiernamen wie Puschelhasi und sonst was, ich weiß nicht, aber ihr merkt ja schon an meinen ständigen Wiederholungen, so viele fallen mir da nicht ein, der Katalog ist vermutlich endlich. Es sollte was Zufälligeres sein. Im Idealfall was, was man nicht erraten kann.
  • Und die Antwort sollte nicht zu kurz sein.

Wie sehen sichere Antworten auf Sicherheitsfragen aus?


Und jetzt kommen wir nämlich genau zu dem Punkt:

Die richtige Antwort auf so eine Sicherheitsfrage ist nicht Puschel oder Hasi oder sonst was, die richtige Antwort darauf ist eine Folge von Zeichen wie bei einem Passwort, zufällig generiert, von euerm Passwort-Manager, zufällig für diesen einen Account.

Wenn ihr dann gefragt werdet nach, Mädchenname der Mutter, dann tragt ihr halt da diese 24 Zeichen nichtlesbaren Kram ein. Speichert das in eurem Passwortmanager, da gibt’s typischerweise mehr als nur ein Feld, das könnt ihr im Notizenfeld zum Beispiel speichern. Wenn ihr dann wieder gefragt werdet, holt ihr es aus dem Passwort-Manager.


Und wenn der Passwortmanager ausfällt?


Ihr behandelt also Sicherheitsfragen beziehungsweise die Antworten da drauf ganz genau wie eure Passwörter. Jetzt wäre ein total berechtigter Einwand zu sagen, ja Mitch, super Idee, wenn ich an meinen Passwortmanager komme, dann weiß ich auch mein Passwort vermutlich noch, dann brauche ich doch den ganzen Käse nicht machen, den du hier beschreibst.

Valider Punkt, allerdings sind Sicherheitsfragen nun nicht dafür da, um euren besten Sicherheitsmechanismus auszuhebeln, nämlich euren Passwortsafe.

Klar, euren Passwortsafe, da sollt ihr eure Passwörter so drin speichern, dass man den nicht knacken kann und euer Passwort dafür soll gut sein. Aber das müsst ihr euch merken oder von mir aus im Schließfach verwahren oder irgendwas machen, aber ihr dürft euren Passwortsafe nicht verlieren, dafür gibt es Backups, die müsst ihr bei sowas halt einfach haben.

Das Passwort dürft Ihr nicht verlieren oder vergessen.


Der Schlüssel unter der Fußmatte ist keine Lösung!


Weil wenn ihr nämlich euren Passwortsafe mit allen seinen Super-Passwörtern und sonst was und dann die einzelnen Accounts da drin schwächt, indem ihr Sicherheitsfragen habt, auf die jeder die Frage beantworten kann, dann könnt ihr euch auch zuhause die geilsten Gitter vor die Fenster machen, die teuersten Schlösser an die Tür, aber dann bitte unter jede Fußmatte einen Schlüssel legen und unter jede Fensterbank noch einen Ersatzschlüssel kleben, weil man weiß ja nicht, weil wenn man den Schlüssel für die Haustür verliert, dann kommst du ja im Leben nicht mehr rein, das wäre ja ganz schön teuer dann.

Das macht ja überhaupt gar keinen Sinn.

Das heißt, wenn ihr den Sicherheitsmechanismus aufsetzt, dann müsst ihr ihn auch durchziehen und dann dürft ihr euch nicht solche Schwachstellen da reinbauen.

Aber wie gesagt, ihr könnt sie sicher benutzen, betrachtet sie als ein Passwort und macht es wie ein Passwort, die Webseiten prüfen ja nicht nach, ob der Name des Haustiers jetzt wirklich ein Haustiername ist oder nicht irgendein wie gesagt 24-Zeichen-Salat.


Seid mit Informationen online sparsam


Ganz generell wäre auch noch wichtig, postet nicht zu viele Informationen über euch online. Die können für alle möglichen Betrugsvarianten verwendet werden. Seid vor allem sparsam mit persönliche Sachen, intime Sachen, Sachen, die nicht jeder wissen muss. Telefonnummern, Bankverbindungen, Adressen und sowas, das muss alles nicht unbedingt sein.


Viele Antworten werden eh vergessen – dann könnt Ihr es gleich richtig machen


Und vielleicht ist der Teil von dieser Statistik, die ich eben schon mal referenziert habe, ganz interessant, dass nach 3 bis 6 Monaten 16 Prozent der Antworten vergessen waren.

Das heißt, selbst wenn ihr euch jetzt denkt, Mensch, Puschel kann ich aber nicht vergessen, offensichtlich schaffen es 16 Prozent der Leute nach weniger als einem halben Jahr ihre Antworten vergessen zu haben, obwohl die Antworten vielleicht auch so super eingängig und logisch waren.

Dann könnt ihr euch ja vielleicht gleich überlegen, macht die Sicherheitsfragen so, dass ihr sie mit einem Passwortmanager macht, dass ihr wirklich die 3 goldenen Regeln für Passwörter beherzigt und dann könnt ihr Sicherheitsfragen auch sicher verwenden.





Ähnliche Artikel

Adblocker auf dem Handy (54)

Handy-Tracker: die unsichtbare Gefahr auf deinem Smartphone & was du tun kannst (53)

Mobile Tracker: Was machen Werbe-IDs auf deinem Smartphone? (52)

F-Droid – Alternativer Open-Source-App-Store für Android (51)

Leave a Reply 0 comments

←Previous post Next post→