Google warnt vor einfachen Sicherheitsfragen
von caschy | 13 Kommentare
Wie kann man oftmals das Passwort zurücksetzen? Richtig, indem man Sicherheitsfragen beantwortet. Doch Google warnt nun in einer ausgesendeten Mitteilung vor dieser Möglichkeit als einzige Sicherheitsstufe. Zu einfach seien die Fragen, sodass Angreifer schnell die Möglichkeit haben, die Sicherheitsfragen zu beantworten, wenn die diese zu einfach zu beantworten sind. Auch komplexe Sicherheitsfragen sind laut der Google-Untersuchung nicht wirklich geeignet, da sich viele Menschen hinterher nicht mehr an die gegebene Antwort erinnern. Hier einmal auszugsweise die Erkenntnisse der Studie in Bezug auf zu einfache Sicherheitsfragen, gefolgt von den Erkenntnissen bei komplizierten Antworten.
[color-box color=“blue“ rounded=“1″]- Hacker haben eine 19,7%ige Chance, bereits mit einem Versuch die richtige Antwort englischsprachiger Nutzer auf die Frage „Was ist Ihr Lieblingsessen?“ zu treffen. (Diese lautet übrigens ‚Pizza‘.)
- Hacker haben eine beinahe 24%ige Chance, mit zehn Versuchen die Antwort arabischsprachiger Nutzer auf die Frage „Wie lautet der Name Ihres ersten Lehrers?“ zu treffen.
- Hacker haben eine 21%ige Chance, mit zehn Versuchen die Antwort spanischsprachiger Nutzer auf die Frage „Wie lautet der Zweitname Ihres Vaters?“ zu treffen.
- Hacker haben eine 39%ige Chance, mit zehn Versuchen die Antwort koreanischsprachiger Nutzer auf die Frage „Wie lautet Ihr Geburtsort?“ zu treffen und eine 43%ige Chance, das Lieblingsessen dieser Nutzer zu erraten.
- 40 Prozent aller englischsprachigen Nutzer aus den USA konnten sich nicht an die Antworten auf die Sicherheitsfragen erinnern, wenn diese abgefragt wurden. Dagegen konnten sich 80 Prozent dieser Nutzer an die Codes zum Zurücksetzen des Kontos, die ihnen per SMS zugesandt wurden, erinnern. Wurden ihnen die Codes per E-Mail zugesandt, konnten sich 75 Prozent der User an diese erinnern.
- An die Antworten auf einige der wohl sichersten Fragen – „Wie lautet die Nummer Ihres Büchereiausweises?“ und „Wie lautet Ihre Vielfliegernummer?“ – erinnern sich nur 22 Prozent bzw. 9 Prozent der Nutzer.
- Unter englischsprachigen Nutzern in den USA erinnern sich 76 Prozent an die richtige Antwort auf die Frage „Wie lautet der Zweitname Ihres Vaters?“, während sich nur 55 Prozent an die Antwort auf die wahrscheinlich sicherere Frage „Wie lautet Ihre erste Telefonnummer?“ erinnern.
Auch mehrere Fragen sieht Google als ungeeignet an, da mit jeder zusätzlichen Frage die Möglichkeit erhöht wird, dass der Nutzer sich nicht mehr an Antworten erinnert. Eine Lösung? Die hat Google auch teilweise in petto. Zwar verwendet man selber Sicherheitsfragen, doch stellt man diese nur, wenn keine alternative Mail-Adresse oder eine Rufnummer für den SMS-Versand hinterlegt wurde. Ganz uneigennützig ist die Studie von Google freilich nicht, man fordert zeitgleich die Nutzer auf, doch den Sicherheitscheck zu durchlaufen, für den seit circa zwei Wochen auch innerhalb der Google-Dienste geworben wird, sofern man angemeldet ist.
Wird geladen ...
Mehrere Fragen sind wirklich kritisch. Es stimmt tatsächlich, dass ich mich nicht an meine Antworten erinnern kann.
Leider.
Sicherheitsfragen sind aus der Sicht der Sicherheit kompletter Blödsinn. Denn damit kommt es überhaupt nicht mehr auf die Sicherheit der Passwörter an, sondern nur noch auf die Sicherheit dieser Fragen. Damit kann man sich die Passwörter auch gleich schenken.
tja, so ist das eben, von mir gibt es bei google auch ein Konto mit vollem Namen von vor x Jahren, aber ich kann mich beim besten Willen heute nicht mehr an das Passwort oder Wiederherstellungs-Mail-Adresse (die damalige gibt es sowieso nicht mehr) oder irgendwelche Antworten auf Sicherheitsfragen erinnern. So what, google have fun with the dead account.
Komisch, bei mir steht in den Sicherheitseinstellungen, dass Sicherheitsfragen nicht mehr verfügbar sind…
Schön das kann Google so einfach sagt aber der passwort zurücksetzen Prozess bei Google ist ohne hinterlegte handynummer faktisch nich möglich. Eher erinnert man sich wieder an sein pw
Ich habe Sicherheitsfragen schon immer gehasst. Besonders, wenn man keine eigenen eingeben kann und die vorgegebenen so schwierig sind wie „Wie lautet der Mädchenname ihrer Mutter?“ oder „Wie hieß ihre Grundschule?“ Wer ist dafür verantwortlich gewesen? Meine Familie, mein Freundeskreis und weitere Bekannte könnten locker mein Passwort zurücksetzen. Sicherheitsfragen dieser Art sind per Definitionem ein Einfallstor, und wenn sie nicht mal optional sind, eher gefährlich als hilfreich. Lieber würde ich mein Passwort nicht zurücksetzen können und mir einen neuen Account machen.
Gibt es ernsthaft Dienste, bei deinen die Beantwortung der Sicherheitsfrage alleine reicht, um eine Passwort zu ändern? Tatsächlich handelt es sich doch eher um eine Variante, die Verantwortung für die Sicherheit eines Accounts auf die Sicherheit des E-Mail-Accounts des Benutzers (bzw. der Abhörbarkeit der Datenübertragung) zu schieben. Forum „Lieblings-Hunde-Frisuren“ fragt mich nach dem Geburtsort meiner Großmutter, ich sage „Berlin“, und ich bekomme einen Link auf meine E-Mail-Adresse zugesendet, mit dessen Hilfe ich mein Passwort zurücksetzen kann. So lange ich den nicht klicke, und der böse Hacker keinen Zugriff auf meine E-Mail-Adresse hat.
Im übrigen schreibe ich nie die echte Antwort in diese Felder, was den Zugriff aus dem Bekanntenkreis schon einmal verhindert, noch ergibt die Antwort für einen Hacker Sinn. Es ist ein einfacher aber schwer zu erratender Algorithmus, der aus Dienstname und Sicherheitsfrage einen Zeichensalat generiert, der dann als Antwort hinhalten muss. Mehr Angst habe ich davor, dass die Antworten auf diese Fragen weder gehasht, geschweige denn gesalzen, in den Datenbanken der Anbieter schlummern.
Ich hab kryptische Sicherheitsfragen.
„In welcher Straße haben Sie als Kind gewohnt?“
„C7S&T^Ufu5“
Die Antworten sind dann auch in KeePass mit abgelegt.
@SteTob Die Frage ist nur, wozu brauchst du die Sicherheitsfrage, wenn dein Passwort ebenfalls in KeePass liegt, und damit nicht verloren gehen kann, bzw. wenn es verloren geht, deine Antwort auf die Sicherheitsfrage auch verloren gegangen sein wird?
@saujung
Wie du schon sagst, kann das Passwort an sich nicht verloren gehen. Datenbank ist mehrfach gesichert und das Passwort vergesse ich höchstens bei einer Amnesie.
Trotzdem muss man auf vielen Seiten eine Sicherheitsfrage angeben – überspringen ist nicht möglich.
Oder um am Telefon zu bestätigen das man die richtige Person ist. Da kommt man auch nicht drum herum.
@SteTob
Ah, diese Form der Sicherheitsfragen, richtig, für die ist das natürlich sinnvoll. Über deren Sinn habe ich aber auch schon unzählige Male nachgedacht…
Ich gebe da einfach Unsinn ein und bei jedem Dienst bzw jeder Webseite was anderes.
So lange ich nicht echte Daten eingebe, kann auch niemand drauf kommen was da drin steht. Das ganze natürlich nur wenn es notwendig ist, z.B. weil es sonst nicht weitergeht.
Also bei „In welchem Krankenhaus sind Sie geboren“ gebe ich z.B. ein „KH2 Moskau Süd Station8“.
Das ganze speichere ich in Roboform Passcards, die werden lokal verschlüsselt und auf Wunsch auch in der Cloud gesichert. So ist es einfach eine zusätzliche Sicherheit.
Roboform nutze ich seit über 10 Jahren, es gab noch nie ein Problem.
Ich war auch einmal zu nachlässig und darauf hin wurde mein google account gehackt. Ich könnte mich jedes mal darüber aufregen, dass ich die Sicherheitswarnungen nicht beachtet habe..