Donnerstag, 11. Februar 2010

Die Schwierigkeit einer guten Sicherheitsabfrage im Zeitalter sozialer Netzwerke

Während man sich, so nach und nach, bei allen erdenklichen sozialen Netzwerken, Internetshops, Finanzdienstleistern und bald auch beim Friseur nebenan digitale Identitäten zusammen klickt, steht man am Anfang immer wieder vor den gleichen Fragen:

  1. Welchen Benutzernamen soll ich mir geben?
  2. Welches Passwort ist in diesem Fall sicher genug?
  3. Was passiert, wenn ich Benutzername oder Passwort (oder beides) vergessen habe?

Frage 1 ist heute meist leicht zu beantworten, da als Benutzername in vielen Webseiten Schlüssel einfach die eMailadresse verwendet wird (wer mehr als eine eMailadresse hat: selbst Schuld:). Frage 2 ist potentiell kompliziert und wird daher von den meisten wohl mit ‘Ich verwende überall das gleiche Passwort’ beantwortet, vielleicht noch mit einer Variation zwischen einem Passwort für ganz wichtige Seiten und einem für den Rest.

Frage 3 hingegen bietet den meisten Spielraum: Hier finden sich alle möglichen Verfahren, die sich im Kern darum drehen, dass man als armer, vergesslicher Tropf einer anonymen, auf anderen Seite der Erdkugel beheimateten Webseite beweisen muss, dass man ICH ist. Wobei man mit dieser Webseite nie mehr Verkehr hatte als über ein paar Mausklicks und die Eingabe einiger Angaben (Name, Adresse, Konto), die diese Webseite vielleicht nie geprüft hat.

Da man nicht bei allen Seiten nach dem Verfahren ‘Passwort vergessen? Ist mir egal, ich lege mir einfach ein neues Login zu…’ verfahren kann muss man sich zwangläufig mit dieser Frage beschäftigen. Und ein Verfahren, welches einem dabei immer wieder begegnet, ist die Sicherheitsfrage.

Was ist die Idee der Sicherheitsfrage?

Bei der Sicherheitsabfrage geht es darum, dass die betreffende Webseite dem Passwortvergesser eine Frage präsentiert, die sie oder er beantworten soll. Nun stellt die Webseite ja schon vorher eine Frage, nämlich ‘Parole!’ (oder genauer: ‘Benutzername und das Passwort!’), die man aber nicht beantworten konnte.

Bei der Sicherheitsabfrage ist aber die Idee, dass hier eine Frage gestellt wird, die voll aus dem Leben des Passwortvergessers gegriffen ist. Also z. B. ‘Wie ist der Name Deiner Mutter?’, weitere Beispiele unten. Die Art von Frage also, die man auch dann noch beantworten kann, wenn man nach einer einhändigen Weltumsegelung nun wirklich alles andere vergessen hat.

An dieser Stelle ist es wichtig noch einmal zu betonen, welche Relevanz die Sicherheitsfrage hat: Wer sie richtig beantworten kann, kann das entsprechende Konto übernehmen und danach wird es dann richtig schwierig wieder an seine digitale Identität zu kommen. Die Wahl der Sicherheitsfrage muss also genauso ernst genommen werden wie die des Passwortes.  Und hier beginnt das Problem…

Was ist heute eigentlich noch eine gute Sicherheitsfrage, wo wir doch alles über uns bei Facebook, Twitter, Buzz und Co. bekannt geben?

Bei den Sicherheitsabfragen gibt es Internetseiten, die eine fixe Auswahl von Fragenvorschlägen anbieten, und Seiten, bei denen man eine eigene Frage formulieren kann, und Seiten mit beiden Optionen. Schwer zu beurteilen, welche Möglichkeit die bessere ist: in jedem Fall geht es ja darum eine Frage zu finden, die man selbst zwar noch beantworten kann nachdem man alles andere vergessen hat, die aber für Fremde und vielleicht auch für weniger Fremde eine harte Nuss darstellt.

Naheliegend waren daher bisher Fragen nach den privaten Verhältnissen, eben weil in der alten Zeit privat = geheim galt. Bei der Registrierung bei einem weiteren Internetdienst stand ich nun zum ersten Mal ernsthaft vor der Frage, welche der vorgegebenen Fragen wohl wirklich als Sicherheitsfrage in Frage kommen würde, gerade angesichts meiner Nutzung von verschiedenen sozialen Netzen, Blogs, etc. Ein guter Ausgangspunkt für einen Überblick, auch für einen Angreifer, ist hier mein Google Profil.

Auch wenn die dabei angestellten Überlegungen individuell sind sollen sie hier an etwas verallgemeinerten Fragestellungen nachvollzogen werden. Vielleicht überlegt die Leserin/der Leser parallel dazu, wie die Antwort aus ihrer/seiner Sicht ausfallen würde?

Fragen nach der Familie

Zu dieser Gruppe gehören Fragen wie diese:

  • Wie lautet der Mädchenname Ihrer Mutter? (Eine Frage, die auf der Annahme beruht, dass Mütter auch immer verheiratet sind und bei der Heirat ihren Namen ändern)
  • Wie lautet der zweite Vorname Ihres Vaters?
  • In welchem Jahr haben Ihre Eltern geheiratet?

Diese Art von Fragen erscheint mir in mehrfacher Hinsicht unsicher: Den Namen meiner Mutter kann man spätestens in unserem Caféblog finden, vermutlich findet sich in den dort von ihr veröffentlichten Geschichten auch ein Hinweis auf ihren Geburtsort. In diesem winzigen Ort kann man die wenigen Gehöfte an einer Hand abzählen und die Namen herausfinden. Auch der vollständige Name des Vaters sollte kein wirklich ernsthaftes Problem sein.

Das Hochzeitsdatum ist auf den ersten Blick vielleicht etwas sicherer, da wir bisher nicht auf die Idee gekommen sind irgendwelche Bilder von Familienfeiern mit Titeln wie Silberhochzeit 19XX oder so ins Netz zu stellen. Auf der anderen Seite lässt sich über mein Alter halbwegs sicher auf das Hochzeitsjahr schließen und mein Alter wiederum kann grob über die Daten zu meinem Bildungsgang (z. B. Hochschulabschluss) eruiert werden. Oder direkt aus meinem Facebook Account.

Bei allen Fragen zur Familie muss man dann auch noch berücksichtigen, dass nahe Anverwandte auch Repräsentanzen in Sozialen Netzen haben und dort vielleicht genau die Antwort auf die eigene Sicherheitsfrage ausplaudern. Daher mein Fazit: Eher keine Sicherheitsfrage mit Bezug zur Familie.

Fragen nach Haustieren

Die nächste Gruppe von Fragen ist irgendwie ähnlich zur vorherigen, nur dass sie sich nicht um menschliche Familienmitglieder drehen, sondern um tierische:

  • Wie lautet der Name ihres ersten Haustieres?
  • Wie lautet der Name Ihres Hundes/Ihrer Katze/Ihres Pferds?

Auch diese Fragenkategorie kann u. U. mit Hilfe der sozialen Netze leicht beantwortet werden. Bei mir wäre es nicht schwer herauszufinden, wie unser aktuelles Haustier heißt und welche Art von Haustier es ist. Insbesondere Fotoalben sind hier vielleicht besonders verräterisch, wenn sich irgendwo DAS TIER ins Bild schleicht und dann vielleicht sogar noch im Untertitel erwähnt wird.

Und dann habe ich noch das speziellen Problem, dass ich mich nicht mehr an meine Haustiere von gaaanz früher erinnern kann (waren einfach zu viele auf dem Bauernhof).

Fragen nach Bildungsgang oder Beruf

In diese Kategorie möchte ich Fragen der folgenden Art einsortieren:

  • Wie lautet der Name Ihrer ersten Schule?
  • Wer war in der Schule Ihr Lieblingslehrer?
  • Wie hieß Ihr erster Chef?

Die Frage nach alle Schulen, Hochschulen, KiTas und sonstigen Bildungseinrichtungen ist ja eine, die einem in Facebook gleich anspringt, und der man nur schwer ausweichen kann (sonst macht es ja keinen Spaß). Und zur Beantwortung der Frage, welche Lehrer es an welcher Schule gibt kann man Seiten nutzen a la spickmich.de. Ok, dass klappt jetzt nicht falls man die LehrerInnen meiner alten Grundschule ermitteln will, aber für die heute in Schule und Ausbildung befindliche Generation sollte man damit schon sehr weit kommen.

Auch den beruflichen Lebenslauf soll/will man natürlich möglichst umfangreich darstellen, hier nicht nur in Facebook, sondern auch im plain old Curriculum Vitae, welches natürlich im Netz steht. Die Frage nach dem ersten Chef könnte in einem Unternehmen trotzdem für Außenstehende vielleicht schwierig zu beantworten sein, falls sich auf der Firmenwebseite nicht umfangreiche Darstellungen der eigenen Führungsstrukturen im historischen Kontext finden.

In meinem Fall ist diese Frage aber sehr leicht zu beantworten, es reicht dazu das CV zu lesen.

Fragen nach Besitztümern

Zur Abrundung der kleinen Aufstellung nun noch eine vierte Sorte von Fragen und damit Schluss:

  • Von welchem Typ und welcher Farbe war Ihr erstes Auto?
  • Wie lautet Ihr erste Vielfliegernummer?
  • Welche Nummer hat Ihr Bibliotheksauswweis?

Diese Fragenkategorie hat aus meiner Sicht ein wesentliches Problem: in den meisten Fällen kann man sie nicht verwenden, weil man kein Auto besitzt, kein Vielflieger ist und seinen alten Ausweis aus der Stadtbibliothek schon vor Jahren verloren hat.

Bei der Frage nach dem ersten Auto und seiner Farbe, die ich tatsächlich in Erwägung gezogen hatte, stellte ich dann für mich zwei individuelle Probleme fest:

  1. Was ist für mich eigentlich das erste Auto? Die Familienkutsche, die man sich schon mal ausleihen durfte, oder der Kleinwagen, den man tatsächlich selbst bezahlt hatte? Und:
  2. Wie soll ich meine Antwort formulieren? ‘Opel, grün’ oder ‘Ein grüner Opel Corsa’ oder, oder…

An dieser Stelle wird ein weiteres Problem der Sicherheitsabfrage sichtbar: Wie sicher bin ich, dass ich die gleiche Frage in einigen Jahren wieder in der gleichen Weise, sowohl inhaltlich als auch in der Form, beantworten werde? Oder würde schon ein Leerzeichen mehr oder weniger reichen, damit die Webseite mit abweist?

Sicherheitsfrage: Quo vadis?

Nach den ganzen Zweifeln an der Sicherheit der Sicherheitsfragen: was ist zu tun? Letztlich hängt es wie bei allen Sicherheitsdingen stark von der eigenen Paranoia ab, insbesondere in Bezug auf das reale soziale Umfeld: will ich schon jetzt antizipieren, dass mein Freund Schlüsselvielleicht irgendwann mal mein Ex ist und mir dann möglicherweise ganz übel mitspielen will? Wie unromantisch. Oder will ich die Option eines in der netten WG Mitbewohnerin schlummernden Rachedämons berücksichtigen, der nach einmal Vergessen des Abspülens zu viel zur elektronischer Erpressung greifen würde?

Einfacher ist vermutlich ein je nach Wichtigkeit der Anwendungen unterschiedliches Vorgehen: Bei einer Internetseite, auf der es einem egal ist, kann man natürlich irgendeine Frage nehmen und sie richtig oder auch völlig beliebig beantworten.

Das Eintragen einer beliebigen (= zufälligen) Antwort kann aber auch eine Strategie für die ganz wichtigen Seiten sein: falls man sich die zufällige Antwort merkt oder besser aufschreibt und irgendwo sicher hinterlegt (am besten bei den Passworten;) hat man so einen sicheren und kaum zu knackenden Weg zur Wiederherstellung seines Kontozugangs.

Oder man merkt sich die zufällige Antwort nicht! In diesem Fall ist der Hintertür Sicherheitsfrage ein Riegel vorgeschoben und sie kann nicht mehr vom bösen Fremden genutzt werden (aber auch nicht von einem selbst). Dann muss man eben nur das Passwort aufschreiben und sicher verwahren. Und wenn das Problem des Das-Passwort-nie-mehr-verlieren gelöst ist besteht auch eigentlich gar kein Bedarf mehr an einer Sicherheitsabfrage:)

Kommentar veröffentlichen