Sicherheitsfragen sind ein Passwort, das Sie nicht ausgesucht haben

Veröffentlicht am von David Carrero

Wenn ein Formular nach dem Mädchennamen Ihrer Mutter fragt, will es kein Geheimnis von Ihnen. Es will einen Eintrag aus dem Personenstandsregister.

Damit ist die Kritik im Grunde erzählt; der Rest sind Fußnoten. Eine Sicherheitsfrage ist ein Passwort mit drei Mängeln, die ein richtiges Passwort nicht hat: Sie haben es nicht selbst gewählt, die Antwort ist erratbar, weil viele Menschen dasselbe antworten, und sie steht häufig irgendwo geschrieben, wo Sie nichts zu sagen haben. Dafür bekommt sie ein gewaltiges Privileg: Sie darf Ihr Passwort ersetzen. Sie ist die Hintertür Ihres Kontos, und sie ist schlechter gesichert als die Vordertür.

Das ist kein Bauchgefühl aus der Branche. Das hat Google gemessen.

Die Studie, die niemand liest, bevor er das Formular baut

2015 stellten fünf Forscher — Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson und Mike Williamson — auf der WWW-Konferenz in Florenz eine Arbeit vor, deren Titel schon fast alles sagt: Secrets, Lies, and Account Recovery. Kein Labor mit dreißig Freiwilligen: Ausgewertet wurden Hunderte Millionen geheimer Antworten und Millionen echter Wiederherstellungsversuche.

Der Befund hat zwei Hälften. Fast immer wird nur eine davon erzählt.

Hälfte eins: Sie werden erraten

Das Bedrohungsmodell des Papers ist nicht der neugierige Nachbar, sondern jemand, der Konten in Serie angreift und nur bei einem Bruchteil richtigliegen muss. Unter dieser Lupe bekommen die Zahlen eine ganz andere Bedeutung.

Mit einem einzigen Versuch träfe ein Angreifer bei 19,7 % der englischsprachigen Nutzer die Antwort auf „Ihr Lieblingsessen?“. Einer. Und die Antwort ist, falls Zweifel bestehen, genau die, an die Sie gerade denken. Mit zehn Versuchen träfe er 39 % der Antworten koreanischer Nutzer auf „Geburtsstadt?“. Und mit einem einzigen Versuch trifft man 3,8 % der Antworten spanischsprachiger Nutzer auf die Frage, die Google ihnen übersetzt als „Erster Nachname des Vaters?“ vorsetzte.

3,8 % klingen nach wenig, bis man sich erinnert: Der Angreifer greift nicht Ihr Konto an, er greift eine Million an. Und für die Trefferliste muss man nicht Google sein. Die Autoren haben es überprüft: Mit gerade einmal tausend über einen Crowdsourcing-Dienst eingekauften Antworten bauten sie Verteilungen, die bei bis zu hundert Versuchen zu 75 bis 80 % so wirksam waren wie die echten. Das Experiment kostete sie 100 Dollar und weniger als einen Tag.

Vernichtend ist, dass ausgerechnet die Fragen, die auf Einzigartigkeit konstruiert sind, ebenfalls durchfallen. Eine Vielfliegernummer müsste per Definition unwiederholbar sein; in der Praxis trifft ein einziger Versuch bei englischsprachigen Nutzern 4,2 %. Der Grund ist herrlich, und wir kommen darauf zurück: Menschen lügen, und sie lügen im Rudel.

Hälfte zwei: Sie werden vergessen

Hier bricht das Argument endgültig zusammen, denn der einzige Grund, warum wir Sicherheitsfragen überhaupt noch benutzen, ist der Glaube, sie seien zuverlässig. Die Prämisse klang vernünftig: Den eigenen Geburtsort zu behalten müsste leichter sein, als sich xK4$mz zu merken. Ist es nicht. 40 % der englischsprachigen US-Nutzer konnten ihre Antwort nicht mehr abrufen, als sie sie brauchten. Sie hatten sie nicht abstrakt vergessen: Sie wollten in ihr Konto und kamen nicht hinein.

Und dann kommt die perfekte Umkehrung, die diese Technik vor einem Jahrzehnt hätte beerdigen müssen. Je sicherer die Frage, desto schlechter die Erinnerung. In derselben Gruppe kam „Zweiter Vorname Ihres Vaters?“ — eine schwache Frage — auf 76 % Treffer. „Ihre erste Telefonnummer?“, deutlich schwerer zu erraten, fiel auf 55 %. Und die theoretisch sichersten Kandidaten stürzen ab: „Nummer Ihres Bibliotheksausweises?“ 22 %, „Vielfliegernummer?“ 9 %.

Die Zeit erledigt den Rest. Bei „Ihr Lieblingsessen?“ lag die Trefferquote nach einem Monat bei 74 %, nach drei Monaten bei 53 % und nach einem Jahr bei mageren 47 %. Und die Wiederherstellungen ballen sich nicht am Anfang: Die Autoren fanden, dass Nutzer ihr Konto nicht eher früh als spät zurückholen — die meisten stehen also vor der Frage, wenn die Erinnerung längst verdunstet ist.

Das Fazit der Autoren lässt wenig Spielraum für Umdeutung: Es erscheint nahezu unmöglich, geheime Fragen zu finden, die zugleich sicher und einprägsam sind.

Lügen rettet Sie nicht, es sperrt Sie aus

Die vernünftige Reaktion, sobald man das Problem verstanden hat, ist zu lügen: Fragen sie nach der Geburtsstadt, antworten Sie „Reykjavík“ und gut ist.

Auch das hat das Paper gemessen, per Umfrage in der US-Bevölkerung. Von denen, die zugaben, falsche Antworten zu geben, taten es 37 %, um es einem Angreifer schwer zu machen, 15 %, damit es leichter zu merken sei — lesen Sie das ruhig zweimal —, und 31,9 % aus Datenschutzgründen, weil sie einem Unternehmen nicht auch noch ihre Biografie schenken wollten.

Das Problem: Eine Antwort zu härten ist eine vorhersehbare Geste. Genau daher kommen die 4,2 % bei den Vielfliegernummern: Die Lügen vieler Menschen ähneln einander deutlich mehr als ihre Wahrheiten. Und bezahlt wird in der anderen Hälfte. US-Nutzer, die „Ihre erste Telefonnummer?“ mit etwas Siebenstelligem ausfüllten — einer plausiblen Antwort —, erinnerten sich in 55 % der Fälle. Wer sechs Zeichen eintrug, also sich etwas ausdachte, traf in 18 %.

Lügen, ohne es zu notieren, ist keine Sicherheitsstrategie. Es ist das Wegwerfen des Schlüssels.

Auf Deutsch ergibt die Frage nicht einmal Sinn

Zurück zum Mädchennamen Ihrer Mutter. Er heißt hier Geburtsname, und er ist genau das, was er sagt: eine Eintragung. Er steht im Personenstandsregister, er steht im Familienstammbuch, und bei allen, die einen Doppelnamen führen, steht er sogar am Klingelschild.

Das ist keine hiesige Marotte. Das Paper selbst zitiert eine Studie von Griffith und Jakobsson, die diesen Namen für mindestens 30 % der Einwohner von Texas aus öffentlichen Geburts- und Heiratsregistern herleitete; und Rabkin, der fand, dass 16 % der in der Praxis verwendeten Fragen Antworten hatten, die routinemäßig in öffentlichen Profilen sozialer Netzwerke standen.

Eine Angabe, die in einem Register steht und in Ihrem Profil auftaucht, ist kein geteiltes Geheimnis. Sie ist eine öffentliche Information mit einem Passwortfeld davor.

Was tun mit dem Formular, das Sie zwingt

Manchmal gibt es kein Entkommen: Die Bank verlangt drei Fragen, und ohne geht es nicht weiter. Dann hören Sie auf, sie als Fragen zu behandeln, und behandeln Sie sie als das, was sie sind.

  • Antworten Sie mit einem Passwort, nicht mit Ihrem Leben. Auf „Geburtsstadt?“ darf man mit einer Zufallszeichenkette aus dem Generator antworten oder mit einem Satz, den Sie vorher durch den Passwort-Checker geschickt haben. Das ist die einzige Antwort, die in keinem Register steht.
  • Notieren Sie sie im Passwortmanager, im selben Eintrag wie die Seite. Das ist nicht optional: Das ist exakt der Unterschied zwischen 55 % und 18 % Erinnerung. Die Lüge funktioniert nur, wenn Sie sie aufbewahren.
  • Lässt der Dienst eine andere Wiederherstellungsmethode zu, nehmen Sie die. In Googles Daten traf die SMS in 81 % der Fälle und die E-Mail in 75 %, gegenüber 61 % bei den geheimen Fragen unter den englischsprachigen US-Nutzern — und nur 44 % unter den Franzosen.

Google hat mit den eigenen Zahlen vor Augen die Konsequenz gezogen: Die geheimen Fragen wurden zum letzten Mittel degradiert, immer begleitet von anderen Signalen. Was das Paper empfiehlt, ist, sie nicht allein zu verwenden.

Elf Jahre später fragt Ihre Versicherung Sie noch immer nach dem Namen Ihres ersten Haustiers. Antworten Sie ihr mit sechzehn zufälligen Zeichen. Sie hat es verdient.


Quellen: J. Bonneau, E. Bursztein, I. Caron, R. Jackson und M. Williamson, „Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google“, WWW 2015, Florenz · V. Griffith und M. Jakobsson, „Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records“, ACNS 2005, und A. Rabkin über Sicherheitsfragen in der Praxis, beide in der vorgenannten Arbeit zitiert.

← Zurück zum Blog