Dumme Fra­gen haben nichts mit Sicher­heit zu tun

Nicht erst die Auf­re­gung über den angeb­lich erfolg­ten Hack der Yahoo-Emailadresse der Kan­di­da­tin für die US-Vizepräsidentenposten Sarah Palin (siehe hierzu die­sen Heise-Beitrag) brachte wie­der mal die Unbrauch­bar­keit von „Sicher­heits­fra­gen“ in die Öffent­lich­keit. Es wurde wie­der mal deut­lich, dass „Secret Ques­ti­ons“ keine Sicher­heit schaf­fen — son­dern allen­falls wei­tere (unnö­tige) Angriffs­punkte zum Missbrauch.

Viele Online­dienste spei­chern neben dem Zugangs­na­men und gehei­men Pass­wort auch die „geheime“ Ant­wort auf eine oder meh­rere Fra­gen, die der Benut­zer ent­we­der selbst for­mu­lie­ren kann, oder die vom Sys­tem vor­ge­ge­ben ist.

Ich möchte hier erläu­tern, warum solch ein Sys­tem kein siche­res Sys­tem ist und kei­nes­falls ver­wen­det wer­den sollte.

Zu unter­schei­den ist zwi­schen zwei Vari­an­ten:
Der vor­ge­ge­be­nen Frage (bzw. einer kur­zen Aus­wahl meh­re­rer Fra­gen) und der frei zu defi­nie­ren­den Frage.

Die vor­ge­ge­bene Frage lau­tet z.B. „Wie ist der Geburts­name Ihrer Mut­ter“ oder „Wie heißt Ihr Geburts­ort“. Bei­des keine beson­ders gro­ßen Geheim­nisse.
Manch­mal ste­hen 5 Fra­gen zur Aus­wahl, manch­mal ist 1 vor­ge­ge­ben. Der ein­zige Unter­schied ist, dass es 5mal so auf­wän­dig ist die Ant­wort auf 5 unsi­chere Fra­gen zu recher­chie­ren, als die Ant­wort auf 1 Frage. 5 x unsi­cher ist aber noch lange nicht sicher.

Man kann natür­lich auch der zu veri­fi­zie­ren­den Per­son selbst die For­mu­lie­rung nicht nur der Ant­wort, son­dern auch der Frage über­las­sen.
Doch auch das ist keine gute Idee, denn meist wird er keine gute Frage for­mu­lie­ren kön­nen oder wol­len. Denn was könnte eine gute Frage sein? Eigent­lich nur etwas so pri­va­tes und inti­mes, dass man es NIE einem ande­ren Men­schen mit­tei­len würde. Doch gerade das wird natür­lich NIEMAND an so einer Stelle ein­ge­ben und ggf. würde er/sie es auch kei­nem Call-Center-Agent mit­tei­len wol­len. Alle Fra­gen und Ant­wor­ten dar­auf sind also per se untaug­lich, da man Geheim­nisse eben NICHT verrät.

In jedem Fall wird eine nicht beson­ders geheime Infor­ma­tion auf eine bekannte oder ein­fa­che Frage zum Kri­te­rium über den Iden­ti­täts­nach­weis einer Per­son.
Die rich­tige Ant­wort auf diese Fra­gen wird aber gerade als ein Kri­te­rium für den Beweis der Iden­ti­tät her­an­ge­zo­gen — wozu soll­ten sie sonst gut sein.
Eine grobe Gefähr­dung der Sicher­heit per­sön­li­cher Daten!

Ein untaug­li­ches Kri­te­rium zum Iden­ti­täts­nach­weis wird aber auch dadurch nicht bes­ser, dass es zusam­men mit ande­ren kom­bi­niert wird. Zumal man sich das kon­krete Sze­na­rio eines Call-Center-Agents vor­stel­len muss, der einen generv­ten Anru­fer an der Lei­tung hat, der unge­dul­dig ist, unfreund­lich wird und sich dar­über beschwert, warum das mit dem Zugang so kom­pli­ziert ist und man ihm nicht glaubt, dass er der Anru­fer ist. Nicht nur Psy­cho­lo­gen wer­den sich gut vor­stel­len kön­nen, das der geplagte Call Cen­ter Agent im Zwei­fel lie­ber dem Anru­fer ver­traut, als ihm nicht zu ver­trauen, das Gespräch daduch in die Länge zu zie­hen und den Kun­den zu verärgern.

Warum aber sollte der Geburts­name der Mut­ter als Kri­te­rium für Sicher­heit tau­gen? Ich weiß es nicht, aber ich kann mir zahl­rei­che Mög­lich­kei­ten vor­stel­len, für jeden belie­bi­gen Men­schen den Geburts­na­men der Mut­ter zu erfah­ren:
Sze­na­rio 1: „Markt­for­schung“:
Anruf beim zu kom­pro­mit­tie­ren­den selbst und Behaup­tung man möchte ein tele­fo­ni­sches Inter­view für Markt­forr­schungs­zwe­cke durch­füh­ren. Neben ande­ren unver­fäng­li­chen Fra­gen, die dem Gespräch Glaub­wür­dig­keit ver­lei­hen, wird die Frage nach dem Geburts­na­men der Mut­ter, ggf. auch nach dem Geburts­ort etc. gestellt. Mit größ­ter Wahr­schein­lich­keit wird diese Infor­ma­tion unbe­denk­lich vom inter­view­ten preisgegeben.

Sze­na­rio 2: „Gespräch mit dem Nach­barn„
Anruf beim Nach­barn der zu kom­prom­mit­tier­den Per­son. Der Nach­bar wird unter einem Vor­wand in ein Gespräch ver­wi­ckelt .… und wenn er die Per­son kennt — viel­leicht sogar schon län­ger und auch mit der Fami­li­en­si­tua­tion ver­traut ist — nach den zu erschnüf­feln­den Infor­ma­tio­nen gefragt.

Sze­na­rio X:
Gesprä­che in denen die gewünsch­ten Infor­ma­tio­nen zu erfra­gen sind las­sen sich mit vie­len ande­ren Men­schen füh­ren, mit Schu­len, Behör­den, Kol­le­gen, Ver­si­che­run­gen, Ver­mie­tern, Arbeit­ge­bern, Hob­by­freun­den etc. .

Natür­lich kann man auch im Inter­net suchen und bei Pro­mi­nen­ten oder Men­schen mit einem über­durch­schnitt­li­chen Selbst­dar­stel­lungs­be­dürf­nis wird man auch dort Ant­wort auf die Fra­gen finden.

Also bitte: Sicher­heits­ver­ant­wort­li­che aller Län­der, been­det die­sen Schwachsinn!

Nach­trag 2011-02-14: Eine extre­mes Bei­spiel für den Ein­satz von „secret ques­ti­ons“ und ver­que­rer Sicher­heits­kon­zep­tion erlebte ich heute beim Ver­such der Akti­vie­rung mei­nes Kon­tos bei der Bank of Scot­land. Zunächst ein­mal fällt auf, dass man Pass­worte nicht von ent­spre­chen­der Soft­ware in die Fel­der der Web­seite ein­ge­ben kann — das soll wohl zu mehr Sicher­heit füh­ren indem es ver­hin­dert, dass die Kun­den die Pass­worte auf dem Com­pu­ter spei­chern? Tut es aber nicht, denn diese Blo­ckade funk­tio­niert per Java­script. Schal­tet man Java­script ab — was von Sicher­heits­ex­per­ten auch heute noch ange­ra­ten wird — funk­tio­niert das Ein­fü­gen des Pass­wor­tes natür­lich — aber die Web­seite zur Kon­to­ak­ti­ver­ung (und wahr­schein­lich das gesamte Online­ban­king) nicht. Also: Die Web­seite zur Akti­vie­rung des Kon­tos funk­tio­niert nur, wenn der Benut­zer Java­script akti­viert hat, eine Tech­nik, die grund­sät­lich Sicher­heits­lü­cken mit­bringt. Diese Behin­de­rung führt letz­lich nur dazu, dass man anstelle eines siche­ren lan­gen Pass­wor­tes (aus der ver­schlüs­sel­ten Pass­wort­da­tei) ein kur­zes unsi­che­res ver­wen­det, da man die­ses schnel­ler tip­pen kann.
Hat man diese erste Hürde über­sprun­gen fragt das Sys­tem den neuen Kun­den gleich nach 6 Sicher­heits­fra­gen und Ant­wor­ten dar­auf. Die Fra­gen kann man nicht frei wäh­len, son­dern es sind Fra­gen vor­ge­ge­ben wie: „Auf was für einem Auto haben Sie Ihren Füh­rer­schein gemacht.“ Eine ganz beson­ders sichere Frage übri­gens: Ich bin Jahr­gang 1964 — es war also ein VW Golf. Wäre ich 20 Jahre älter, wäre es ein VW Käfer gewe­sen, was sonst? Doch da auch den Ver­ant­wort­li­chen wohl klar ist, dass eine sol­che Frage nicht sehr sicher ist, hat man gleich meh­rere davon — was die Sache natür­lich auch nicht bes­ser macht, wie bereits hin­läng­lich erläu­tert.
Erschre­ckend auch, dass hier nicht nach­zu­le­sen ist, wie diese Ant­wor­ten auf Sicher­heits­fra­gen ein­ge­setzt wer­den. Laut Tele­fon­aus­sage des Kun­den­ser­vice als zusätz­li­che Frage, die ZUSAMMEN mit dem Pass­wort exakt (!) pas­sen muss. Das steht aber nir­gends nach­zu­le­sen und ehr­lich gesagt glaube ich auch nicht, dass man einem Kun­den Zugang ver­wehrt, nur weil er „VW Golf“ statt „Volks­wa­gen Golf I“ geant­wor­tet hat. Es ist also zu befürch­ten, das eine mehr oder weni­ger kor­rekte Ant­wort auf eine oder meh­rere die­ser Fra­gen her­an­ge­zo­gen wird um die Authen­ti­zi­tät eines Kun­den zu akzep­tie­ren — etwa um ihm die Ver­gabe eines neuen Pass­wor­tes zu ermög­li­chen. Aber wie gesagt — das ist Spe­ku­la­tion, die Bank äußert sich auf der Seite, auf der sie die­ses Sicher­heits­sys­tem zur Pflicht für neue Kun­den macht, nicht näher dazu und die tele­fo­ni­sche Kun­den­be­ra­tung teilte mir mit, dass ich ja kein Konto eröff­nen muss, wenn ich das Sys­tem nicht akzep­tiere.
OK, hat mich über­zeugt — kein Konto bei die­ser Bank!

ACHTUNG: Die­ser Arti­kel ist keine Anlei­tung zur Aus­nut­zung von Sicher­heits­män­geln zum Betrug oder Miss­brauch. Die­ser Arti­kel ist eine Auf­for­de­rung an die für Daten­schutz und –sicher­heit Ver­ant­wort­li­chen keine Sicher­heits­me­cha­nis­men zu ver­wen­den die ein Sys­tem unsi­che­rer machen.

Foto: Pixo­mar / FreeDigitalPhotos.net