+43 699 / 18199463
office@itexperst.at

Sicherheitsfragen bei Passwörtern sind zu leicht zu erraten

In einer Google-Studie „Secrets, Lies, and Account Recovery“ von hunderten von Millionen Passwort-Sicherheitsfragen stellte sich heraus, dass die Fragen viel zu einfach waren und die Antworten somit leicht erraten werden können. So antworten z.B. 19,7 Prozent der Benutzer auf die Frage nach dem Lieblingsessen mit Pizza. Spricht der Benutzer koreanisch, kann mit 10 Versuchen der Geburtsort mit einer Wahrscheinlichkeit von 39% erraten werden.

Mit den Sicherheitsfragen soll der Zugang zu einem Konto wieder ermöglicht werden, wenn das Passwort vergessen wurde. Die Sicherheitsfragen sollten freilich schwer zu erraten sein, was in der Praxis jedoch nicht der Fall ist.

Die Idee des Google-Experiments war, 1000 Benutzer die Antwort auf diese Fragen geben zu lassen. Über die Häufigkeiten der verschiedenen Antworten, konnte recht gut die Vorhersage der richtigen Antwort getroffen werden. Mit dieser Methode ist es möglich, die Frage nach dem „zweiten Vornamen des Vaters“ zu 76% zu erraten, wenn der Benutzer US-amerikanisch spricht. Die erste Ziffer der Telefonnummer ist so mit 55-prozentiger Sicherheit feststellbar. Relativ gering ist die Erfolgsrate bei der ersten Ziffer der Vielfliegernummer, sie liegt bei 9%. Nachdem diese 10 mögliche Werte haben kann (0 bis 9, also 1/10 = 10%) ist der Wert von 9% nicht verwunderlich.

Mit solch leicht zu beantwortenden Sicherheitsfragen wird das System „Sicherheitsfrage“ ad absurdum geführt. Die Idee hinter den Fragen ist, dass die Antworten schwer zu erraten sind bzw. sein sollten. Die Fragen sollten den Sicherheitsaspekt zusätzlichen erhöhen. In der Realität wird die Sicherheit des Zugangs und des Systems „Passworte“ aber unnötigerweise geschwächt.

Die Praxis zeigt, dass über das soziale Umfeld die Antwort auf die Sicherheitsfragen oftmals im Internet zu finden ist. Auch sollte die Anzahl der möglichen Antworten deutlich größer sein, als die Anzahl der möglichen Passworte, was z.B. beim zweiten Vornamen der Mutter eindeutig nicht der Fall ist.

Googles Sicherheitsexperten empfehlen daher das Hinterlegen einer Telefonnummer für die Wiederherstellung oder eine zweite E-Mail-Adresse. An diese kann ein einmaliger Zugangscode gemailt bzw. per SMS versandt werden. Damit sollte es nicht mehr möglich sein, einen Account durch Sicherheitsfragen zu übernehmen.

Dieses Ergebnis empfehlen auch Stuttard/Pinto in ihrem Buch „Web Application Hacker’s Handbook“, das Best Practices für die Account Recovery Funktion vorgibt: Eine E-Mail an die hinterlegte E-Mail-Adresse oder SMS an die hinterlegte Telefonnummer mit einer eindeutigen, zeitlich limitierten, nicht erratbaren und nur einmal benutzbaren URL ist die beste automatisierbare Möglichkeit, um Zugänge wiederherzustellen.

Siehe auch:

Artikel von abcnews.go.com, 21.05.2015: Google Reveals the Problem With Password Security Questions

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen