Zehn verwegene Sicherheitsfragen Passwort Zuckerschnuppe

Passwort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern.

Von

Passwort vergessen? (Symbolbild): Je wilder die Antwort, desto besser
ddp

Passwort vergessen? (Symbolbild): Je wilder die Antwort, desto besser


Ein prominentes Opfer der eigenen Passwort-Sicherheitsfrage ist der republikanische US-Präsidentschaftskandidat Mitt Romney: Einem Angreifer gelang es im Juni, den E-Mail-Account des Politikers unter seine Kontrolle zu bringen, indem er die Antwort auf eine schlichte Frage erraten hatte - die nach Romneys Lieblingshaustier.

Eine Sicherheitsfrage hilft, wenn man sein Passwort vergessen hat oder es ändern will. Auf die korrekte Beantwortung der Frage kommt meist eine E-Mail an die private Adresse; manchmal jedoch lässt sich das Passwort auch direkt ändern.

Ein vernünftiges Passwort sieht etwa so aus: mindestens zehn Zeichen lang, mit Sonderzeichen, Ziffern, Klein- und Großbuchstaben, bestenfalls weder zu erraten noch im Wörterbuch zu finden. Dafür gibt es gute Anleitungen. Doch hat man schließlich einen ausreichend komplizierten Passwortwurm entworfen, sagen wir "MuRksbaN3#n6ane!", wird der oft nur mit einer primitiven Gedächtnisstütze geschützt. Eine typische Sicherheitsantwort nämlich sieht etwa so aus: einfache Wörter, die lange gültig sind und leicht im Gedächtnis bleiben. Nicht nur deshalb sind sie oft zu erraten.

Die Frage nach Art und Namen des ersten Haustiers ist eine Standardfrage - erstaunlicherweise. Denn schon jeder, der in den durchschnittlich zwölf Jahren eines Hundelebens bei Herrchen oder Frauchen zu Besuch war, wird das Tier des Hauses kennen. Einmal gepostet oder getwittert, ist der Name erst recht schnell gefunden. Sollte man den Hund deshalb wegsperren, wenn Besuch kommt? Oder niemals bei seinem Namen nennen? Die Satire-Website Newsbiscuit rät, das erste Haustier am besten gleich so zu benennen, dass es später mit der Sicherheitsfrage keine Probleme gibt: "Der Name sollte mindestens acht Zeichen haben, einen Großbuchstaben und eine Ziffer", wird dort gewitzelt, und: "Idealerweise sollten Kinder den Namen ihres Haustiers alle zwölf Wochen ändern."

Es muss etwas sein, das man gern für sich behält

Die anderen Fragen zur "Sicherheit" sind nicht besser: Wie lautet der Mädchenname Ihrer Mutter? An welchem Handgelenk tragen Sie Ihre Uhr? In welcher Stadt leben Sie? All das ist leicht herauszufinden oder gar bekannt. Selbst die Varianten, die mancherorts als passabel gelobt werden, sind teils lächerlich: Die Frage "wo fand Ihre Hochzeitsfeier statt?" geht wohl davon aus, dass bei diesem Ereignis ausschließlich Freunde zugegen waren und lässt außer Acht, dass das womöglich der ganze Ort beantworten könnte. Zur Frage "In welcher Straße haben Sie in der dritten Klasse gelebt?" kann schon jeder Schulkamerad und Nachbar von damals etwas sagen.

Im Idealfall kann aber einzig der Kontoinhaber die Sicherheitsfrage beantworten. Natürlich könnte man sich einfach irgendetwas ausdenken und somit die Antwort zu einem zweiten Passwort machen. Das aber würde die Sicherheitsfrage ad absurdum führen, als Gedächtnisstütze taugte sie nicht mehr.

Es muss also doch ein Geheimnis sein - nur werden die wenigsten Nutzer nach einem Geheimnis gefragt. Man müsste wohl verwegener denken, an all jene Dinge, die man sonst für sich behält:

1. Welchen Körperteil Ihrer Freundin finden Sie am hässlichsten?

2. Auf welchen Ihrer Freunde könnten Sie am ehesten verzichten?

3. Welchen Gegenstand haben Sie als Kind gestohlen?

4. Mit welchem Lehrer hätten Sie sich in der Schulzeit eine Affäre gewünscht?

Nun will man seinem E-Mail-Provider nicht unbedingt verraten, was man noch nie jemandem erzählt hat. Deshalb sind einige Fragen besser umzudrehen oder so zu formulieren, dass ein Außenstehender nur wenig damit anfangen kann. Was man mag, geht niemanden etwas an. Was man aber nicht mag, kann mitunter recht beliebig sein:

5. Welche sexuelle Stellung mochten Sie noch nie?

6. Welches Land möchten Sie auf keinen Fall bereisen?

Wer nach Personen fragt, muss sie seinem Provider ja nicht mit Vor- und Nachnamen nennen. Ein kaum bekannter Spitzname ist ohnehin die bessere Wahl:

7. Wen haben Sie schon einmal betrogen?

8. Wem wären Sie lieber nie begegnet?

9. Mit wem hatten Sie den besten Oralsex Ihres Lebens?

Um Himmels willen! Das würden Sie niemals verraten? Wenn die Antworten darauf aber jeweils Wurzelmäuschen, Pickel-Andy oder Zuckerschnuppe lauten, weiß der Geheimnisträger nicht viel mehr als vorher; für Sie bleibt die Antwort trotzdem eindeutig.

Und je wilder die Antwort, desto besser: Dirk zum Beispiel ist schnell erraten, egal, ob der Vorname des Vaters oder der schlechteste Liebhaber abgefragt wurde.

In vielen Fällen ist ein starrer Fragenkatalog vorgegeben, aus dem man wählen kann. Diese Auswahl hält sich leider an die Höflichkeitsregeln. Dabei täte mancher Dienstleister den Kunden womöglich einen größeren Gefallen, wenn er frech fragen würde. Wer sich selbst eine Frage stellen darf, sollte die Chance nutzen und so kreativ sein wie möglich. Zwar ist kein Frage-Antwort-Paar wirklich sicher, aber einige sind zumindest nicht sofort zu erraten. Das gilt übrigens auch für die Frage nach dem Haustier, die durch ein wenig Tuning schon sicherer wird. Fragen Sie nicht nach einer bevorzugten Tierart, sondern nach einem Tierbesitzer:

10. Wessen Katze würden Sie gerne braten?

Denken Sie an die Groß- und Kleinschreibung.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 54 Beiträge
Alle Kommentare öffnen
Seite 1
ccmehil 16.07.2012
1. Eigentlich
Finde ich an meiner Freundin nur ein Körperteil häßlich, das man durchaus Zuckerschnute nennen kann. Aber warum will der Spiegel das wissen?
ID Fake 16.07.2012
2.
Zitat von sysopCorbisPasswort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern. http://www.spiegel.de/netzwelt/web/0,1518,843707,00.html
Soweit so gut. Jetzt nicht mehr. Das macht kein gutes Passwort, allenfalls ein kompliziertes. Was nutzt das komplizierteste Passwort, wenn man es sich nicht merken kann und deswegen auf einem Zettel unter die Tastatur klebt. xkcd: Password Strength (http://xkcd.com/936/)
Vergil 16.07.2012
3.
Zitat von sysopCorbisPasswort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern. http://www.spiegel.de/netzwelt/web/0,1518,843707,00.html
Tja. Nun ist die Frage nach dem hässlichsten Körperteil der Freundin / Frau auch nicht sonderlich schwierig zu beantworten, denn wie viele in Frage kommende Körperteile gibt es schon? Im Zweifelsfall hat der Angreifer schlicht Glück, wenn er "Po" eingibt. Bei einem großen deutschen Bezahlanbieter wollte ich besonders clever sein und stellte als Sicherheitsfrage: "Wie hieß ich früher?" Als Antwort verbarg sich dahinter schlicht mein seinerzeitiges Passwort. Nun kam es eines Tages, wie es kommen musste: Ich wusste nicht mehr, wie ich mein Passwort präzise eingegeben hatte, da ich im Lauf der Jahre mit Zahlen und Groß- und Kleinschreibung jongliert hatte. Folgerichtig wurde ich von dem Bezahlanbieter gesperrt. Die Sicherheitsfrage konnte ich natürlich ebenfalls nicht mehr beantworten, also rief ich dort an und wurde von einer sehr netten Dame gefragt, ob ich ihr denn nicht einfach die richtige Antwort auf die Sicherheitsfrage nennen könnte? In einer sehr demütigenden Prozedur nannte ich dann mehrere Varianten meines ein wenig albernen Passworts, doch leider war keine richtig. Daher ist das alles etwas schwierig. Die Variante, einfach irgendeine Frage zu stellen und als Antwort immer "Dirk" oder "Wurst" o.ä. zu nehmen, ist auch gefährlich, denn man kann ja auch vergessen, ob man "Dirk" etc. als Antwort gewählt hatte.
Pat-Riot 16.07.2012
4. Keine gute Idee
Zitat von sysopCorbisPasswort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern. http://www.spiegel.de/netzwelt/web/0,1518,843707,00.html
Ich wechsle meine Freundinnen häufiger als mein Passwort. Und zwar, weil ich irgendwann so ziemlich alles hässlich finde. Also müsste ich im Falle der Sicherheits(ab)frage eine riesige Umfrageaktion starten, (a) wer zum Zeitpunkt der jeweiligen Kontoeinrichtung gerade meine Freundin war und (b) was ich in dem Moment gerade am hässlichsten an ihr fand. Ich bleibe lieber beim Lieblingshaustier. Ich habe keins, denke mir aber eins aus und zwar immer dasselbe: Einen Schweineigel. Kommt keiner drauf.
Arno Nühm 16.07.2012
5. übersehene Schwachstelle
---Zitat--- 1. Welchen Körperteil Ihrer Freundin finden Sie am hässlichsten? 2. Auf welchen Ihrer Freunde könnten Sie am ehesten verzichten? 3. Welchen Gegenstand haben Sie als Kind gestohlen? 4. Mit welchem Lehrer hätten Sie sich in der Schulzeit eine Affäre gewünscht? 5. Welche sexuelle Stellung mochten Sie noch nie? 6. Welches Land möchten Sie auf keinen Fall bereisen? [...] ---Zitatende--- Schön dass mal in einem Artikel auf die Gefahren der (Un-)Sicherheitsfrage eingegangen wird. Leider sind die Tips größtenteils unbrauchbar. Die meisten der genannten Beispiele lassen sich leicht erraten. Körperteile gibts zum Beispiel nur eine endlich Anzahl, die kann man auch mal durchprobieren. Länder genauso, zumal da sicherlich einige Kandidaten häufiger autauchen (Iran). gleiches gilt für alle Fragen auf die ein Name die Antwort ist. Spitznamen zu verwenden, erhöht die Sicherheit nur minimal, wenn es nichts wirklich ausgefallenes ist, da Klassiker wie Schatzi, Zuckerschnute und Co. eben auch mal auf Verdacht eingetippt werden können. Die wichtigste Regel in Bezug auf die Geheimantwort ist die, dass sie in keinem erkennbaren Bezug zur Frage stehen darf. Dem Angreifer wird somit kein Hinweis geliefert und man ist unabhängig von der oft beschränkten Auswahl an Standardfragen des jeweiligen Dienstes, sprich, man kann auf Wunsch die gleiche Antwort auf verschiedenen Portalen für verschiedene Fragen angeben (ist zwar etwas unsicherer, merkt sich aber um vieles leichter als 10 verschiedene und um leichte Merkbarkeit geht es ja im Falle eines vergessenen Passworts). Es empfiehlt sich z.B. ein Zitat aus einem Buch, Gedicht, Liedtext, die sich gut einprägt aber nicht offensichtlich genug ist, erraten zu werden und lang genug, um nicht geknackt zu werden. Damit hat sie in der Tat den Charakter eines zweiten Passworts, weshalb ich den grundsätzlichen Sinn von (Un-)Sicherheitsfragen auch in Zweifel ziehe, doch leider sind sie ja meist obligatorisch.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.