Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Zehn verwegene Sicherheitsfragen: Passwort Zuckerschnuppe

Von

Passwort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern.

Passwort vergessen? (Symbolbild): Je wilder die Antwort, desto besser Zur Großansicht
ddp

Passwort vergessen? (Symbolbild): Je wilder die Antwort, desto besser

Ein prominentes Opfer der eigenen Passwort-Sicherheitsfrage ist der republikanische US-Präsidentschaftskandidat Mitt Romney: Einem Angreifer gelang es im Juni, den E-Mail-Account des Politikers unter seine Kontrolle zu bringen, indem er die Antwort auf eine schlichte Frage erraten hatte - die nach Romneys Lieblingshaustier.

Eine Sicherheitsfrage hilft, wenn man sein Passwort vergessen hat oder es ändern will. Auf die korrekte Beantwortung der Frage kommt meist eine E-Mail an die private Adresse; manchmal jedoch lässt sich das Passwort auch direkt ändern.

Ein vernünftiges Passwort sieht etwa so aus: mindestens zehn Zeichen lang, mit Sonderzeichen, Ziffern, Klein- und Großbuchstaben, bestenfalls weder zu erraten noch im Wörterbuch zu finden. Dafür gibt es gute Anleitungen. Doch hat man schließlich einen ausreichend komplizierten Passwortwurm entworfen, sagen wir "MuRksbaN3#n6ane!", wird der oft nur mit einer primitiven Gedächtnisstütze geschützt. Eine typische Sicherheitsantwort nämlich sieht etwa so aus: einfache Wörter, die lange gültig sind und leicht im Gedächtnis bleiben. Nicht nur deshalb sind sie oft zu erraten.

Die Frage nach Art und Namen des ersten Haustiers ist eine Standardfrage - erstaunlicherweise. Denn schon jeder, der in den durchschnittlich zwölf Jahren eines Hundelebens bei Herrchen oder Frauchen zu Besuch war, wird das Tier des Hauses kennen. Einmal gepostet oder getwittert, ist der Name erst recht schnell gefunden. Sollte man den Hund deshalb wegsperren, wenn Besuch kommt? Oder niemals bei seinem Namen nennen? Die Satire-Website Newsbiscuit rät, das erste Haustier am besten gleich so zu benennen, dass es später mit der Sicherheitsfrage keine Probleme gibt: "Der Name sollte mindestens acht Zeichen haben, einen Großbuchstaben und eine Ziffer", wird dort gewitzelt, und: "Idealerweise sollten Kinder den Namen ihres Haustiers alle zwölf Wochen ändern."

Es muss etwas sein, das man gern für sich behält

Die anderen Fragen zur "Sicherheit" sind nicht besser: Wie lautet der Mädchenname Ihrer Mutter? An welchem Handgelenk tragen Sie Ihre Uhr? In welcher Stadt leben Sie? All das ist leicht herauszufinden oder gar bekannt. Selbst die Varianten, die mancherorts als passabel gelobt werden, sind teils lächerlich: Die Frage "wo fand Ihre Hochzeitsfeier statt?" geht wohl davon aus, dass bei diesem Ereignis ausschließlich Freunde zugegen waren und lässt außer Acht, dass das womöglich der ganze Ort beantworten könnte. Zur Frage "In welcher Straße haben Sie in der dritten Klasse gelebt?" kann schon jeder Schulkamerad und Nachbar von damals etwas sagen.

Im Idealfall kann aber einzig der Kontoinhaber die Sicherheitsfrage beantworten. Natürlich könnte man sich einfach irgendetwas ausdenken und somit die Antwort zu einem zweiten Passwort machen. Das aber würde die Sicherheitsfrage ad absurdum führen, als Gedächtnisstütze taugte sie nicht mehr.

Es muss also doch ein Geheimnis sein - nur werden die wenigsten Nutzer nach einem Geheimnis gefragt. Man müsste wohl verwegener denken, an all jene Dinge, die man sonst für sich behält:

1. Welchen Körperteil Ihrer Freundin finden Sie am hässlichsten?

2. Auf welchen Ihrer Freunde könnten Sie am ehesten verzichten?

3. Welchen Gegenstand haben Sie als Kind gestohlen?

4. Mit welchem Lehrer hätten Sie sich in der Schulzeit eine Affäre gewünscht?

Nun will man seinem E-Mail-Provider nicht unbedingt verraten, was man noch nie jemandem erzählt hat. Deshalb sind einige Fragen besser umzudrehen oder so zu formulieren, dass ein Außenstehender nur wenig damit anfangen kann. Was man mag, geht niemanden etwas an. Was man aber nicht mag, kann mitunter recht beliebig sein:

5. Welche sexuelle Stellung mochten Sie noch nie?

6. Welches Land möchten Sie auf keinen Fall bereisen?

Wer nach Personen fragt, muss sie seinem Provider ja nicht mit Vor- und Nachnamen nennen. Ein kaum bekannter Spitzname ist ohnehin die bessere Wahl:

7. Wen haben Sie schon einmal betrogen?

8. Wem wären Sie lieber nie begegnet?

9. Mit wem hatten Sie den besten Oralsex Ihres Lebens?

Um Himmels willen! Das würden Sie niemals verraten? Wenn die Antworten darauf aber jeweils Wurzelmäuschen, Pickel-Andy oder Zuckerschnuppe lauten, weiß der Geheimnisträger nicht viel mehr als vorher; für Sie bleibt die Antwort trotzdem eindeutig.

Und je wilder die Antwort, desto besser: Dirk zum Beispiel ist schnell erraten, egal, ob der Vorname des Vaters oder der schlechteste Liebhaber abgefragt wurde.

In vielen Fällen ist ein starrer Fragenkatalog vorgegeben, aus dem man wählen kann. Diese Auswahl hält sich leider an die Höflichkeitsregeln. Dabei täte mancher Dienstleister den Kunden womöglich einen größeren Gefallen, wenn er frech fragen würde. Wer sich selbst eine Frage stellen darf, sollte die Chance nutzen und so kreativ sein wie möglich. Zwar ist kein Frage-Antwort-Paar wirklich sicher, aber einige sind zumindest nicht sofort zu erraten. Das gilt übrigens auch für die Frage nach dem Haustier, die durch ein wenig Tuning schon sicherer wird. Fragen Sie nicht nach einer bevorzugten Tierart, sondern nach einem Tierbesitzer:

10. Wessen Katze würden Sie gerne braten?

Denken Sie an die Groß- und Kleinschreibung.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 54 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Eigentlich
ccmehil 16.07.2012
Finde ich an meiner Freundin nur ein Körperteil häßlich, das man durchaus Zuckerschnute nennen kann. Aber warum will der Spiegel das wissen?
2.
ID Fake 16.07.2012
Zitat von sysopCorbisPasswort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern. http://www.spiegel.de/netzwelt/web/0,1518,843707,00.html
Soweit so gut. Jetzt nicht mehr. Das macht kein gutes Passwort, allenfalls ein kompliziertes. Was nutzt das komplizierteste Passwort, wenn man es sich nicht merken kann und deswegen auf einem Zettel unter die Tastatur klebt. xkcd: Password Strength (http://xkcd.com/936/)
3.
Vergil 16.07.2012
Zitat von sysopCorbisPasswort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern. http://www.spiegel.de/netzwelt/web/0,1518,843707,00.html
Tja. Nun ist die Frage nach dem hässlichsten Körperteil der Freundin / Frau auch nicht sonderlich schwierig zu beantworten, denn wie viele in Frage kommende Körperteile gibt es schon? Im Zweifelsfall hat der Angreifer schlicht Glück, wenn er "Po" eingibt. Bei einem großen deutschen Bezahlanbieter wollte ich besonders clever sein und stellte als Sicherheitsfrage: "Wie hieß ich früher?" Als Antwort verbarg sich dahinter schlicht mein seinerzeitiges Passwort. Nun kam es eines Tages, wie es kommen musste: Ich wusste nicht mehr, wie ich mein Passwort präzise eingegeben hatte, da ich im Lauf der Jahre mit Zahlen und Groß- und Kleinschreibung jongliert hatte. Folgerichtig wurde ich von dem Bezahlanbieter gesperrt. Die Sicherheitsfrage konnte ich natürlich ebenfalls nicht mehr beantworten, also rief ich dort an und wurde von einer sehr netten Dame gefragt, ob ich ihr denn nicht einfach die richtige Antwort auf die Sicherheitsfrage nennen könnte? In einer sehr demütigenden Prozedur nannte ich dann mehrere Varianten meines ein wenig albernen Passworts, doch leider war keine richtig. Daher ist das alles etwas schwierig. Die Variante, einfach irgendeine Frage zu stellen und als Antwort immer "Dirk" oder "Wurst" o.ä. zu nehmen, ist auch gefährlich, denn man kann ja auch vergessen, ob man "Dirk" etc. als Antwort gewählt hatte.
4. Keine gute Idee
Pat-Riot 16.07.2012
Zitat von sysopCorbisPasswort vergessen? Hilfe kommt sofort: Mit der richtigen Antwort auf eine meist simple Frage gibt es ein neues. Doch Sicherheitsfragen nach dem Haustier oder Mutters Mädchennamen können auch Angreifer beantworten. Mit ein paar einfachen Tricks können Sie das verhindern. http://www.spiegel.de/netzwelt/web/0,1518,843707,00.html
Ich wechsle meine Freundinnen häufiger als mein Passwort. Und zwar, weil ich irgendwann so ziemlich alles hässlich finde. Also müsste ich im Falle der Sicherheits(ab)frage eine riesige Umfrageaktion starten, (a) wer zum Zeitpunkt der jeweiligen Kontoeinrichtung gerade meine Freundin war und (b) was ich in dem Moment gerade am hässlichsten an ihr fand. Ich bleibe lieber beim Lieblingshaustier. Ich habe keins, denke mir aber eins aus und zwar immer dasselbe: Einen Schweineigel. Kommt keiner drauf.
5. übersehene Schwachstelle
Arno Nühm 16.07.2012
---Zitat--- 1. Welchen Körperteil Ihrer Freundin finden Sie am hässlichsten? 2. Auf welchen Ihrer Freunde könnten Sie am ehesten verzichten? 3. Welchen Gegenstand haben Sie als Kind gestohlen? 4. Mit welchem Lehrer hätten Sie sich in der Schulzeit eine Affäre gewünscht? 5. Welche sexuelle Stellung mochten Sie noch nie? 6. Welches Land möchten Sie auf keinen Fall bereisen? [...] ---Zitatende--- Schön dass mal in einem Artikel auf die Gefahren der (Un-)Sicherheitsfrage eingegangen wird. Leider sind die Tips größtenteils unbrauchbar. Die meisten der genannten Beispiele lassen sich leicht erraten. Körperteile gibts zum Beispiel nur eine endlich Anzahl, die kann man auch mal durchprobieren. Länder genauso, zumal da sicherlich einige Kandidaten häufiger autauchen (Iran). gleiches gilt für alle Fragen auf die ein Name die Antwort ist. Spitznamen zu verwenden, erhöht die Sicherheit nur minimal, wenn es nichts wirklich ausgefallenes ist, da Klassiker wie Schatzi, Zuckerschnute und Co. eben auch mal auf Verdacht eingetippt werden können. Die wichtigste Regel in Bezug auf die Geheimantwort ist die, dass sie in keinem erkennbaren Bezug zur Frage stehen darf. Dem Angreifer wird somit kein Hinweis geliefert und man ist unabhängig von der oft beschränkten Auswahl an Standardfragen des jeweiligen Dienstes, sprich, man kann auf Wunsch die gleiche Antwort auf verschiedenen Portalen für verschiedene Fragen angeben (ist zwar etwas unsicherer, merkt sich aber um vieles leichter als 10 verschiedene und um leichte Merkbarkeit geht es ja im Falle eines vergessenen Passworts). Es empfiehlt sich z.B. ein Zitat aus einem Buch, Gedicht, Liedtext, die sich gut einprägt aber nicht offensichtlich genug ist, erraten zu werden und lang genug, um nicht geknackt zu werden. Damit hat sie in der Tat den Charakter eines zweiten Passworts, weshalb ich den grundsätzlichen Sinn von (Un-)Sicherheitsfragen auch in Zweifel ziehe, doch leider sind sie ja meist obligatorisch.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: