Warum Antworten auf „persönliche“ Fragen als Alternativzugang keine gute Idee sind.

Nicht erst die Auf­re­gung über den angeb­lich erfolg­ten Hack der Yahoo-​​Emailadresse der Kan­di­da­tin für die US-​​Vizepräsidentenposten Sarah Palin (siehe hierzu die­sen Heise-​​Beitrag) brachte wie­der mal die Unbrauch­bar­keit von „Sicher­heits­fra­gen“ in die Öffent­lich­keit. Schon seit Jah­ren ärgere ich mich über die­sen Unsinn, dere keine Sicher­heit schafft — son­dern allen­falls unnö­tige Angriffs­punkte für Missbrauch.

Viele Online­dienste spei­chern neben dem Zugangs­na­men und gehei­men Pass­wort auch die „geheime“ Ant­wort auf eine Frage, die der Benut­zer ent­we­der selbst for­mu­lie­ren kann, oder die vom Sys­tem vor­ge­ge­ben ist.

Ich möchte hier erläu­tern, warum solch ein Sys­tem kein siche­res Sys­tem ist und kei­nes­falls ver­wen­det wer­den sollte.

Zu unter­schei­den ist zwi­schen zwei Vari­an­ten:
Der vor­ge­ge­be­nen Frage (bzw. einer kur­zen Aus­wahl meh­re­rer Fra­gen) und der frei zu defi­nie­ren­den Frage.

Die vor­ge­ge­bene Frage lau­tet z.B. „Wie ist der Geburts­name Ihrer Mut­ter“ oder „Wie heißt Ihr Geburts­ort“. Bei­des keine beson­ders gro­ßen Geheim­nisse.
Manch­mal ste­hen 5 Fra­gen zur Aus­wahl, manch­mal ist 1 vor­ge­ge­ben. Der ein­zige Unter­schied ist, dass es 5mal so auf­wän­dig ist die Ant­wort auf 5 unsi­chere Fra­gen zu recher­chie­ren, als die Ant­wort auf 1 Frage. 5 x unsi­cher ist aber noch lange nicht sicher.

Man kann natür­lich auch der zu veri­fi­zie­ren­den Per­son selbst die For­mu­lie­rung nicht nur der Ant­wort, son­dern auch der Frage über­las­sen.
Doch auch das ist keine gute Idee, denn meist wird er keine gute Frage for­mu­lie­ren kön­nen oder wol­len. Denn was könnte eine gute Frage sein? Eigent­lich nur etwas so pri­va­tes und inti­mes, dass man es NIE einem ande­ren Men­schen mit­tei­len würde. Doch gerade das wird natür­lich NIEMAND an so einer Stelle ein­ge­ben und ggf. würde er/​sie es auch kei­nem Call-​​Center-​​Agent mit­tei­len wol­len. Alle Fra­gen und Ant­wor­ten dar­auf sind also per se untaug­lich, da man Geheim­nisse eben NICHT verrät.

In jedem Fall wird eine nicht beson­ders geheime Infor­ma­tion auf eine bekannte oder ein­fa­che Frage zum Kri­te­rium über den Iden­ti­täts­nach­weis einer Per­son.
Die rich­tige Ant­wort auf diese Fra­gen wird aber gerade als ein Kri­te­rium für den Beweis der Iden­ti­tät her­an­ge­zo­gen — wozu soll­ten sie sonst gut sein.
Eine grobe Gefähr­dung der Sicher­heit per­sön­li­cher Daten!

Ein untaug­li­ches Kri­te­rium zum Iden­ti­täts­nach­weis wird aber auch dadurch nicht bes­ser, dass es zusam­men mit ande­ren kom­bi­niert wird. Zumal man sich das kon­krete Sze­na­rio eines Call-​​Center-​​Agents vor­stel­len muss, der einen generv­ten Anru­fer an der Lei­tung hat, der unge­dul­dig ist, unfreund­lich wird und sich dar­über beschwert, warum das mit dem Zugang so kom­pli­ziert ist und man ihm nicht glaubt, dass er der Anru­fer ist. Nicht nur Psy­cho­lo­gen wer­den sich gut vor­stel­len kön­nen, das der geplagte Call Cen­ter Agent im Zwei­fel lie­ber dem Anru­fer ver­traut, als ihm nicht zu ver­trauen, das Gespräch daduch in die Länge zu zie­hen und den Kun­den zu verärgern.

Warum aber sollte der Geburts­name der Mut­ter als Kri­te­rium für Sicher­heit tau­gen? Ich weiß es nicht, aber ich kann mir zahl­rei­che Mög­lich­kei­ten vor­stel­len, für jeden belie­bi­gen Men­schen den Geburts­na­men der Mut­ter zu erfah­ren:
Sze­na­rio 1: „Markt­for­schung“:
Anruf beim zu kom­pro­mit­tie­ren­den selbst und Behaup­tung man möchte ein tele­fo­ni­sches Inter­view für Markt­forr­schungs­zwe­cke durch­füh­ren. Neben ande­ren unver­fäng­li­chen Fra­gen, die dem Gespräch Glaub­wür­dig­keit ver­lei­hen, wird die Frage nach dem Geburts­na­men der Mut­ter, ggf. auch nach dem Geburts­ort etc. gestellt. Mit größ­ter Wahr­schein­lich­keit wird diese Infor­ma­tion unbe­denk­lich vom inter­view­ten preisgegeben.

Sze­na­rio 2: „Gespräch mit dem Nach­barn„
Anruf beim Nach­barn der zu kom­prom­mit­tier­den Per­son. Der Nach­bar wird unter einem Vor­wand in ein Gespräch ver­wi­ckelt .… und wenn er die Per­son kennt — viel­leicht sogar schon län­ger und auch mit der Fami­li­en­si­tua­tion ver­traut ist — nach den zu erschnüf­feln­den Infor­ma­tio­nen gefragt.

Sze­na­rio X:
Gesprä­che in denen die gewünsch­ten Infor­ma­tio­nen zu erfra­gen sind las­sen sich mit vie­len ande­ren Men­schen füh­ren, mit Schu­len, Behör­den, Kol­le­gen, Ver­si­che­run­gen, Ver­mie­tern, Arbeit­ge­bern, Hob­by­freun­den etc. .

Natür­lich kann man auch im Inter­net suchen und bei Pro­mi­nen­ten oder Men­schen mit einem über­durch­schnitt­li­chen Selbst­dar­stel­lungs­be­dürf­nis wird man auch dort Ant­wort auf die Fra­gen finden.

Also bitte: Sicher­heits­ver­ant­wort­li­che aller Län­der, been­det die­sen Schwachsinn!

ACHTUNG: Die­ser Arti­kel ist keine Anlei­tung zum Betrug und Miss­brauch. Die­ser Arti­kel ist eine Auf­for­de­rung an die für Daten­schutz und –sicher­heit Ver­ant­wort­li­chen solch schwach­sin­ni­gen „Sicher­heits­me­cha­nis­men“ nicht mehr zu ver­wen­den und auf geeig­ne­tere Ver­fah­ren zurückzugreifen.