FatBobber´s Blog …

News about motorbiking and media …

Wenn „geheime Fragen“ nicht wirklich geheim sind bzw. bleiben … Backup-Authentifizierung mit Problemen!

Brian Greens Abenteuer mit den nicht ganz so geheimen Fragen begann, als er sich im März in seinen Account beim Multiplayer-Game „World of Warcraft“ einloggte: Er musste feststellen, dass all seine Spielcharaktere in ihren virtuellen Unterhosen dastanden. Jemand musste seine Zugangsdaten gestohlen und all seine teure Ausrüstung verkauft haben.

„Mein erster Gedanke war, dass ich wohl einen Tastaturspion auf meinem Rechner habe“, berichtet er. Als er sich die Sache dann näher ansah und unter anderem feststellte, dass seine Passwörter sogar mehrmals verändert worden waren, kam der Spieleprogrammierer zu einem anderen Schluss: „Meine geheime Frage zum Zurücksetzen der Accounts hatte eine viel zu leicht zu erratende Antwort. Daran hatte ich bei der Auswahl damals gar nicht gedacht.“

Betroffen von solchen Problemen sind aber nicht nur ganz normale Nutzer. Selbst Promis tappen in die Falle. Im September 2008 nutzte ein Hacker die gleiche Lücke aus, um in den privaten Yahoo-E-Mail-Account der damaligen US-Präsidentschaftskandidatin Sarah Palin einzudringen. Sein Trick: Er wusste, wo sich die Gouverneurin von Alaska und ihr Mann kennen gelernt hatten, was auch Palins Antwort auf ihre wahrlich nicht geheime Frage war.

Palin und Green sind keineswegs die einzigen, die von dem Problem betroffen sind. Ein kombiniertes Forscherteam von Microsoft Research und der Carnegie Mellon University präsentieren am Mittwoch auf dem „IEEE Symposium on Security and Privacy“ im kalifornischen Oakland eine Studie, die zeigt, wie gefährlich die Lücke beim Zurücksetzen von Passwörtern wirklich ist. In einer Gruppe aus 130 Testpersonen konnten immerhin 28 Prozent aller befragten Menschen, die die Studienteilnehmer kannten und zu ihren Vertrauenspersonen zählten, die korrekten Antworten erraten. Schlimmer noch: Selbst den Versuchsteilnehmern völlig unbekannte Personen besaßen noch eine 17prozentige Chance, das „Rätsel“ um die geheimen Fragen zu knacken.

„Die Technik ist nicht so sicher, wie wir uns das von einem Backup-System zur Authentifizierung wünschen würden“, meint Microsoft-Forscher Stuart Schechter denn auch ohne Umschweife, der zu den Autoren der Studie gehört. Hinzu komme, dass die Technik nicht verlässlich genug sei, um tatsächlich sicher zu stellen, dass Nutzer auch wirklich an ihre vergessenen Passwörter gelangten.

Die Fragen, die am unsichersten sind, seien jene, deren Antwort sich erraten lässt, ohne dass man die betroffene Person kennt. Beispiele wie „Was ist Ihre Lieblingsstadt?“ oder „Was ist Ihr Lieblingsteam?“ ließen sich leicht durch Probieren ermitteln, so Schechter. Zwischen 30 und 50 Prozent korrekte Antworten generierten allein diese geheimen Fragen, womit sie es in die Top 5 der erfolgreichen Rateversuche schafften.

Unsicher sind aber auch Fragen, die nur ganz wenig persönliches Wissen über eine Person erfordern. Fremden Menschen, denen die Studienteilnehmer selbst ihr Passwort niemals anvertrauen würden, konnten mit 45prozentiger Sicherheit noch immer beantworten, wo die Versuchsperson geboren wurde. 40 Prozent fanden problemlos den Namen ihres Haustiers heraus. Ein wenig Surfen im Web hilft dabei.

Backup-Authentifizierungssysteme wie jene zur Passwortzurücksetzung sollten laut Schechter zwei wichtige Merkmale besitzen: Sie müssten zunächst stets zuverlässig sein und einem legitimen Nutzer den Weg zurück in seinen Account ermöglichen. Und dann dürften sie eben nicht leicht zugänglich sein. Das häufig verwendete Prinzip der geheimen Frage versage in beiden Fällen.

Selbst bei jenen Fragen, deren Antworten sich am leichtesten merken ließen (Palins E-Mail-Provider Yahoo war hier ausgerechnet der Spitzenreiter), vergaßen noch 16 Prozent der Teilnehmer nach drei bis sechs Monaten, was sie eingegeben hatten. Insgesamt erwies sich eine von fünf Personen als entsprechend vergesslich. „Die Leute tendieren dazu, zu unterschätzen, dass sie sich später an eine besonders clevere Antwort nicht mehr erinnern können“, so Schechter.

IT-Sicherheitsguru Bruce Schneier kritisiert das Prinzip der geheimen Fragen bereits seit einem guten Jahrzehnt. Im Jahr 2005 forderte er, es müsse besonders schwierig sein, an einen Account zu gelangen, wenn man sein Passwort vergessen habe. „Es muss so hart sein, dass ein Angreifer es keinesfalls schafft.“

Trotzdem konzentrierten sich viele Firmen darauf, ihre Kundendienstkosten zu senken, indem sie eine Hintertür einbauten, über die sich Sperren leichter überwinden ließen, als durch das Erraten des Passworts. „Das Merkwürdige aus der Sicherheitsperspektive ist, dass wir es hier mit einem Backup-System zu tun haben, das weniger sicher ist als jenes, das es eigentlich unterstützen soll.“ Klappt der Zugriff über die Vordertür nicht, kommt der Gangster eben durch die weniger gesicherte Hintertür.

Schlechter sieht das ähnlich. Sicherheitsforscher müssten dringend andere Mechanismen finden, geheime Fragen seien der falsche Weg. „Wir würden es gerne sehen, dass dieses Prinzip eines Tages verschwindet. Unglücklicherweise hilft es dabei nicht einmal, sich einfach bessere Fragen einfallen zu lassen. Wir fanden im Versuch kaum welche, die sicherer waren.“

Schechter empfiehlt, bis dahin niemals Fragen zu wählen, die häufig vorkommende Antworten haben könnten. Schneier geht noch weiter und meint, er selbst tippe häufig einfach eine zufällige Antwort ein: Wenn er dann doch ein Passwort zurücksetzen muss, ruft er einfach die betroffene Firma an.

Green, dessen Antwort auf die geheime Frage bei dem „World of Warcraft“-Dilemma der Name seiner High School war, plant nun, zunächst einen sichereren E-Mail-Anbieter zu wählen. Dazu gehört auch, dass er ein System zum Zurücksetzen von Passwörtern künftig ablehnt. „Es ist zwar hübsch, dass ich es nutzen kann, wenn ich meine Zugangsdaten einmal vergessen habe. Genauso nervig wäre es aber, wenn es jemandem gelingt, es erneut ohne meine Erlaubnis zu erraten.“

Quelle:

Robert Lemos

Posted via web from Superglide’s Personal Blog …

20. Mai 2009 - Posted by | Uncategorized

Es gibt noch keine Kommentare.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: