Sicherheitsfragen erhöhen Unsicherheit

Über einen Facebook-Post bin ich auf einen Forschungsbericht von Google-Mitarbeitern zum Thema Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google gestossen. Ich bin ja generell der Meinung, dass die Verwendung sogenannter Sicherheitsfragen (mit denen man sich bei vergessenen Passwörtern wieder authentisieren kann) eher zur Unsicherheit beitragen, der Bericht hat dies auf anschauliche Weise verdeutlicht:

  • Auf die häufig gewählte Frage nach dem Lieblingsessen geben im englischen Sprachraum rund 20% der Benutzer dieselbe Antwort
  • In (Süd-)Korea haben rund 12% der Benutzer denselben Geburtsort
  • Bei „exotischeren“ Fragen nimmt die Wahrscheinlichkeit, dass sich der Benutzer nach einigen Monaten (d.h. dann wenn er das Passwort vergessen hat) noch an seine Antwort erinnert, sehr schnell auf unbrauchbar tiefe Werte ab
  • Oft geben Benutzer auch bei exotischen Fragen einfache (d.h. falsche) Antworten, anders lässt sich zum Beispiel nicht erklären, dass 5% der Benutzer dieselbe Frequent Flyer-Nummer haben

Wenn man zusätzlich berücksichtigt, dass für viele der typischen Sicherheitsfragen mit etwas Fantasie oder Sozial Engineering die korrekte sehr einfach von jedermann ermittelt werden kann, müsste dies eigentlich Grund genug sein, das Konzept umgehend zu entsorgen. Nur leider sehen das verschiedene Online-Anbieter leicht anders (oder versuchen zumindest, auf diese Art ihren eigenen Aufwand bei vergessenen Passwörtern zu senken). Was kann man als vorsichtig agierender Benutzer also tun?

Idealerweise stellt man sicher, dass man gar nicht erst auf die Sicherheitsfragen angewiesen ist. Es gibt diverse Passwort-Manager sowohl bereits eingebaut in gängigen Betriebssystemen wie auch als plattformübergreifende 3rd Party-Software (z.B. 1Passwort oder KeePass Password Safe). Wem das ein zu hohes Risiko darstellt, druckt sich eine Liste von Passwort-Kandidaten inklusive dem effektiven Passwort aus, legt das Blatt in einen verschlossenen Umschlag und diesen zu seinen Bank- und Steuerunterlagen (oder in den persönlichen Schrank im Büro).

Das hilft natürlich nur beschränkt, wenn ein Webservice-Anbieter darauf besteht, dass man Antworten zu Sicherheitsfragen hinterlegt. Aber hey, wer sagt denn, dass die Antwort auf die Lieblingsessens-Frage essbar oder diejenige auf den Namen der ersten Schule real sein muss? Also kann das Lieblingsessen auch ‚cyos4Vath9iM1cos4hac9me’ heissen und man ging in die ‚tryps4ur3Ops4‘-Schule. Merken kann man sich diese Wörter auf dieselbe Art wie das eigentliche Passwort auch.