Sicherheitsfragen sind Käse

3. April 2009 Kategorien:

Gerade war es mal wieder soweit: Ich habe mich für einen neuen Webservice registriert. Während das Passwort doch bitte mindestens acht Zeichen lang und alphanumerisch sein musste, sollte ich bitte auch eine Sicherheitsfrage zu vorgefertigten Fragen beantworten. Darunter die üblichen Verdächtigen wie “Mädchenname ihrer Mutter”, “Geburtsort”, etc. Nicht erst seit Frau Palin (kennt die eigentlich noch wer?) weiß man eigentlich, dass das keine so gute Idee ist. Viele der Informationen kann man mit ein wenig Recherche herausfinden oder zumindest eingrenzen, sofern man den User hinter dem Account kennt. Beispielsweise bei eMail ist dies kein Problem, da fast immer die eMail-Adresse selbst den Login darstellt.

Daher die klare Empfehlung an Entwickler: Verzichtet doch bitte gänzlich auf Sicherheitsfragen oder lasst wenigstens eine Frage frei definieren. Und für die Anwender: Alphanumerische Antworten bei der Sicherheitsfrage die keinerlei Sinn ergeben verhindern die Nutzung dieser Designschwachstelle. Um Passwörter nicht zu vergessen hat der Kollege Fritsch ja schon ausreichend Hinweise gegeben.

/gt

  1. 3 Antworten to “Sicherheitsfragen sind Käse”

  2. By LB Detektei on Dez 21, 2009

    Im Internet lautet grundsätzlich die Regel: Niemals zuviel von sich preisgeben. Vor allem diese sogenannten Sicherheitsfragen sollten nicht wahrheitsgemäß beantwortet werden.

  3. By Detektei A&B on Okt 5, 2010

    …oder man wählt eine Frage aus, die keinen direkten Rückschluss auf die eigene Person zulässt, denn immer darauf zu achten, dass man nicht zu viel von sich Preis gibt ist vieleicht für manche zu viel verlangt. Einfach eine Frage auswählen wie z. B.: “Wie war der Name Ihres ersten Haustieres?” = “Polly” …ich denkedas passt auf ca. 1 Milliarde Menschen auf der Welt.

    Beste Grüße

  4. By tglemser on Okt 5, 2010

    .. und da die Antwort auf sehr viele Menschen passt, sollte man das Haustier namens Polly, Fiffi oder Rex vielleicht lieber nicht zur Antwort nehmen.

    Hier sei nochmals auf den Blog-Eintrag http://blog.tele-consulting.com/2009/02/05/schlechtes-passwort-warum/ verwiesen. Die Tools kann man auch prima nutzen, um kryptische Antworten auf Sicherheitsfragen zu geben. “Wie war der Name Ihres ersten Haustieres?” mit der Antwort “45(/&%$§sdfzu” ist vermutlich schwer zu knacken :) Single-Point of Failure bleibt natürlich das Passwortspeicherprogramm.

Einen Kommentar schreiben

CAPTCHA-Bild
*