Sind Ihre „Geheimfragen“ zu leicht zu beantworten?

Brian Greens Erfahrung mit nicht ganz so geheimen Fragen begann, als er sich im März dieses Jahres bei seinem World of Warcraft-Konto anmeldete und alle seine Charaktere in ihrer Unterwäsche vorfand. Jemand hatte das Konto gestohlen und seine gesamte virtuelle Ausrüstung verkauft.





Mein erster Gedanke war, dass ich vielleicht einen Keylogger auf meinem Computer habe, schrieb Green in einer Beschreibung des Ereignisses. Doch seine eigenen Recherchen zu dem Vorfall – und die Fähigkeit des Angreifers, seine Account-Passwörter mehrmals zu ändern – führten Green, der selbst Spieledesigner ist, zu einem anderen Schluss: Meine „Geheimfrage“ hat eine allzu häufige Antwort … Dies war nicht etwas, was ich beim Ausfüllen vor langer Zeit in Betracht gezogen habe.

Der Vorfall weist Ähnlichkeiten mit dem hochkarätigen Fall auf, an dem die Gouverneurin von Alaska und die ehemalige Vizepräsidentschaftskandidatin Sarah Palin beteiligt waren. Im September 2008 nutzten Hacker den Namen des Ortes, an dem sich Palin und ihr Mann trafen, um über den geheimen Passwort-Wiederherstellungsmechanismus Zugang zu ihrem Yahoo-E-Mail-Konto zu erhalten.

Palin und Green sind nicht allein. In der Forschung präsentiert auf der IEEE Symposium zu Sicherheit und Datenschutz Diese Woche wollen Forscher von Microsoft und der Carnegie Mellon University zeigen, dass die geheimen Fragen, mit denen die Passwortrücksetzungsfunktionen einer Vielzahl von Websites gesichert werden, äußerst unsicher sind. In einer Studie mit 130 Personen fanden die Forscher heraus, dass 28 Prozent der Personen, die die Studienteilnehmer kannten und denen sie vertrauten, die richtigen Antworten auf die geheimen Fragen der Teilnehmer erraten konnten. Selbst Personen, denen der Teilnehmer nicht vertraute, hatten immer noch eine 17-prozentige Chance, die richtige Antwort auf eine geheime Frage zu erraten.



Geheime Fragen allein seien nicht so sicher, wie wir uns unsere Backup-Authentifizierung wünschen würden, sagt Stuart Schechter, Forscher beim Softwareriesen Microsoft und einer der Autoren des Papiers. Sie sind auch nicht zuverlässig genug, dass ihre Verwendung allein ausreicht, um sicherzustellen, dass Benutzer ihre Konten wiederherstellen können, wenn sie ihre Kennwörter vergessen.

Die am wenigsten sicheren Fragen sind einfache Fragen, deren Antworten ohne vorhandene Kenntnisse des Themas erraten werden können, sagen die Forscher. Zum Beispiel die Antworten auf die Fragen Was ist deine Lieblingsstadt? und Was ist deine Lieblingssportmannschaft? waren für die Teilnehmer relativ leicht zu erraten. Insgesamt erschienen 30 Prozent bzw. 57 Prozent der richtigen Antworten in der Top-Five-Liste der Vermutungen.

Aber auch Antworten, die nur wenig persönliches Wissen erfordern, um zu erraten, seien als unsicher einzustufen, warnen die Forscher. Von den Personen, denen die Teilnehmer ihr Passwort nicht anvertrauen würden, konnten 45 Prozent immer noch eine Frage nach ihrem Geburtsort beantworten und 40 Prozent konnten den Namen ihres Haustieres korrekt angeben, fanden die Forscher heraus.



Backup-Authentifizierungsschemata sollten zwei wichtige Eigenschaften haben, sagt Schechter. Sie sollten zuverlässig sein, damit ein legitimer Benutzer wieder auf sein Konto zugreifen kann, und sie sollten sicher sein, um den Zugriff nicht autorisierter Benutzer zu verhindern.

Die Studie ergab, dass geheime Fragen in beiden Fällen zu kurz kommen. Selbst bei den denkwürdigsten Fragen – Yahoos, wie sich herausstellte – vergaßen die Teilnehmer innerhalb von drei bis sechs Monaten 16 Prozent der Antworten. Insgesamt vergaß jeder fünfte Mensch alle Antworten auf seine geheimen Fragen, fanden die Forscher heraus.

Die Leute neigen dazu, die Wahrscheinlichkeit zu unterschätzen, dass sie eine clevere Technik oder eine glatte Antwort vergessen, sagt Schechter.



Seit fast einem Jahrzehnt kritisiert der Sicherheitsexperte Bruce Schneier geheime Fragen wegen ihrer Anfälligkeit für Angriffe. Im Jahr 2005, schrieb Schneier, denke ich gerne, dass es wirklich schwer werden sollte, auf mein Konto zuzugreifen, wenn ich mein Passwort vergesse. Ich möchte, dass es so schwer ist, dass ein Angreifer es unmöglich tun kann.

Doch Unternehmen, die sich auf die Reduzierung der Kundendienstkosten konzentrieren, haben eine Hintertür in die Konten der Benutzer eingeführt, die leichter zu umgehen ist, als zu versuchen, das Passwort zu erraten, sagt er. Die seltsame Sicherheitsmaßnahme, die gemacht wird, ist, dass es ein Backup-System zum Zurücksetzen Ihres Passworts gibt, das weniger sicher ist als das System, das es unterstützen soll, sagt Schneier.

Schechter stimmt zu, dass Forscher einen völlig anderen Mechanismus für die Backup-Authentifizierung finden müssen – geheime Fragen reichen einfach nicht aus. Wir möchten, dass diese Fragen irgendwann verschwinden, sagt er. Da wir leider nicht viele Fragen gefunden haben, die eindeutig gut waren, ist es schwer zu empfehlen, die Fragen einfach zu ändern.



Schechter empfiehlt, keine Fragen zu wählen, die möglicherweise gemeinsame Antworten haben. Schneier geht noch weiter und sagt, dass er oft nur eine zufällige Antwort eintippt; wenn er ein Passwort abrufen muss, sagt er, rufe er die Firma an.

Green, der in seiner geheimen Frage nach dem Namen seiner High School gefragt hat, will künftig sicherer E-Mail verwenden. Und das kann bedeuten, dass auf das Abrufen von Passwörtern verzichtet wird. Mein Passwort auf der Site zurücksetzen zu können, ist praktisch, wenn ich mein Passwort vergesse, aber es ist scheiße, wenn jemand anderes ohne meine Erlaubnis herausfindet, wie es geht, sagt er.

verbergen