Sicherheitsfragen sind Käse
3. April 2009 Kategorien:Gerade war es mal wieder soweit: Ich habe mich für einen neuen Webservice registriert. Während das Passwort doch bitte mindestens acht Zeichen lang und alphanumerisch sein musste, sollte ich bitte auch eine Sicherheitsfrage zu vorgefertigten Fragen beantworten. Darunter die üblichen Verdächtigen wie “Mädchenname ihrer Mutter”, “Geburtsort”, etc. Nicht erst seit Frau Palin (kennt die eigentlich noch wer?) weiß man eigentlich, dass das keine so gute Idee ist. Viele der Informationen kann man mit ein wenig Recherche herausfinden oder zumindest eingrenzen, sofern man den User hinter dem Account kennt. Beispielsweise bei eMail ist dies kein Problem, da fast immer die eMail-Adresse selbst den Login darstellt.
Daher die klare Empfehlung an Entwickler: Verzichtet doch bitte gänzlich auf Sicherheitsfragen oder lasst wenigstens eine Frage frei definieren. Und für die Anwender: Alphanumerische Antworten bei der Sicherheitsfrage die keinerlei Sinn ergeben verhindern die Nutzung dieser Designschwachstelle. Um Passwörter nicht zu vergessen hat der Kollege Fritsch ja schon ausreichend Hinweise gegeben.
/gt
Eine Antwort to “Sicherheitsfragen sind Käse”
By LB Detektei on Dez 21, 2009
Im Internet lautet grundsätzlich die Regel: Niemals zuviel von sich preisgeben. Vor allem diese sogenannten Sicherheitsfragen sollten nicht wahrheitsgemäß beantwortet werden.