Ein paar wichtige Fragen zum Thema “Sicherheitsfragen”
Wie lautet der Name Ihres ersten Haustiers?
Was ist Ihr Lieblingsessen?
Wie lautet der Mädchenname Ihrer Mutter?
Was haben diese scheinbar zufälligen Fragen gemeinsam? Es handelt sich dabei um typische Beispiele für „Sicherheitsfragen". Aller Wahrscheinlichkeit nach musstet ihr auch schon einmal eine dieser Fragen beantworten; viele Online-Dienste verwenden Sicherheitsfragen, um den Nutzern einen erneuten Zugang zu ihrem Konto zu ermöglichen, wenn sie ihr Passwort vergessen haben, oder setzen diese als zusätzlichen Schutz bei verdächtigen Login-Versuchen ein.
Doch obwohl das System der Sicherheitsfragen weit verbreitet ist, gibt es nur wenig fundierte Untersuchungen darüber, wie effektiv und sicher dieses tatsächlich ist. Als Teil unserer Bemühungen um eine kontinuierliche Verbesserung der Kontosicherheit haben wir aus diesem Grund viele Millionen dieser geheimen Fragen und Antworten untersucht, die verwendet wurden, um einen erneuten Zugang zu einem Google-Konto zu erlangen. Anschließend haben wir die Wahrscheinlichkeiten errechnet, mit der Hacker die entsprechenden Antworten erraten können.
Die Ergebnisse unserer Untersuchung lassen uns annehmen, dass Sicherheitsfragen weder sicher noch zuverlässig genug sind, um als einziger Mechanismus herangezogen zu werden, wenn es darum geht, einen erneuten Zugriff auf ein Konto zu ermöglichen. Der Grund hierfür liegt in der Tatsache begründet, dass dieses System eine grundlegende Schwachstelle aufweist: Die Antworten auf die Fragen sind entweder ziemlich sicher oder aber einfach zu merken, selten aber beides zugleich.
Klicken, um eine Vergrößerung der Grafik aufzurufen
Einfache Antworten sind nicht sicher
Es ist keine große Überraschung: Antworten, die man sich einfach merken kann, sind weniger sicher. Einfache Antworten enthalten häufig allgemein bekannte oder öffentlich zugängliche Informationen bzw. sind in ihrer Auswahl aufgrund bestimmter kultureller Begebenheiten (z. B. ein weit verbreiteter Name in bestimmten Ländern) relativ begrenzt.
Hierzu einige Erkenntnisse:
- Hacker haben eine 19,7%ige Chance, bereits mit einem Versuch die richtige Antwort englischsprachiger Nutzer auf die Frage „Was ist Ihr Lieblingsessen?" zu treffen. (Diese lautet übrigens 'Pizza'.)
- Hacker haben eine beinahe 24%ige Chance, mit zehn Versuchen die Antwort arabischsprachiger Nutzer auf die Frage „Wie lautet der Name Ihres ersten Lehrers?" zu treffen.
- Hacker haben eine 21%ige Chance, mit zehn Versuchen die Antwort spanischsprachiger Nutzer auf die Frage „Wie lautet der Zweitname Ihres Vaters?" zu treffen.
- Hacker haben eine 39%ige Chance, mit zehn Versuchen die Antwort koreanischsprachiger Nutzer auf die Frage „Wie lautet Ihr Geburtsort?" zu treffen und eine 43%ige Chance, das Lieblingsessen dieser Nutzer zu erraten.
Darüber hinaus waren die Antworten einiger Nutzer auf bestimmte Sicherheitsfragen, die wir in der Regel als sehr sicher einstufen würden, mit den Antworten anderer Nutzer identisch. Dazu gehören beispielsweise die Fragen „Wie lautet Ihre Telefonnummer?" oder „Wie lautet Ihre Vielfliegernummer"? Weitere Untersuchungen haben ergeben, dass 37 Prozent aller Nutzer bewusst falsche Antworten auf diese Fragen geben, da sie der Ansicht sind, dass diese schwieriger zu erraten sind. Diese Vorgehensweise führt allerdings häufig zum Gegenteil, da diese Nutzer dieselben (falschen) Antworten angeben. Damit erhöht sich sogar die Wahrscheinlichkeit, dass Angreifer ein Konto knacken.
Schwierige Antworten sind ungeeignet
Kaum überraschend: Es ist nicht einfach, sich zu merken, welche Grundschule deine Mutter besucht hat oder wie die Nummer deines Büchereiausweises lautet. Schwierige Sicherheitsfragen und die Antworten darauf erweisen sich in der Praxis häufig als problematisch. Hierzu einige Erkenntnisse:
- 40 Prozent aller englischsprachigen Nutzer aus den USA konnten sich nicht an die Antworten auf die Sicherheitsfragen erinnern, wenn diese abgefragt wurden. Dagegen konnten sich 80 Prozent dieser Nutzer an die Codes zum Zurücksetzen des Kontos, die ihnen per SMS zugesandt wurden, erinnern. Wurden ihnen die Codes per E-Mail zugesandt, konnten sich 75 Prozent der User an diese erinnern.
- An die Antworten auf einige der wohl sichersten Fragen – „Wie lautet die Nummer Ihres Büchereiausweises?" und „Wie lautet Ihre Vielfliegernummer?" – erinnern sich nur 22 Prozent bzw. 9 Prozent der Nutzer.
- Unter englischsprachigen Nutzern in den USA erinnern sich 76 Prozent an die richtige Antwort auf die Frage „Wie lautet der Zweitname Ihres Vaters?", während sich nur 55 Prozent an die Antwort auf die wahrscheinlich sicherere Frage „Wie lautet Ihre erste Telefonnummer?" erinnern.
Wieso werden nicht einfach mehr Sicherheitsfragen gestellt?
Natürlich ist es schwieriger, die richtige Antwort auf zwei (oder mehrere) Fragen zu treffen als nur eine richtige Antwort zu erraten. Doch das Hinzufügen weiterer Sicherheitsfragen hat auch seinen Preis: Die Wahrscheinlichkeit, dass die Nutzer sich erneut Zugriff auf ihr Konto verschaffen können, sinkt in diesem Fall signifikant. Wir haben eine weiterführende Untersuchung durchgeführt, um diesen Zusammenhang zu verdeutlichen (bei Google werden nie mehrere Sicherheitsfragen gestellt).
Unsere Untersuchung hat ergeben, dass „Wie lautet Ihr Geburtsort?" und die Antwort darauf das 'einfachste' Frage- und Antwort-Paar darstellen – in 79 Prozent der Fälle erinnern sich die Nutzer hier an die richtige Antwort. An zweiter Stelle steht die Frage „Wie lautet der Zweitname Ihres Vaters?" Hier erinnern sich 74 Prozent der Nutzer an die richtige Antwort. Wenn ein Angreifer zehn Versuche hat, liegt die Wahrscheinlichkeit dafür, dass er die richtige Antwort auf diese beiden Fragen errät, bei 6,9 Prozent bzw. 14,6 Prozent.
Wenn die Nutzer beide Antworten in Kombination angeben müssen, wird die Kluft zwischen Sicherheit und Anwendbarkeit jedoch zunehmend größer. So liegt zwar die Wahrscheinlichkeit, dass ein Angreifer bei zehn Versuchen beide Antworten errät, nur bei 1 Prozent, doch erinnern sich nur 59 Prozent der Nutzer an beide Antworten. Das Hinzufügen zusätzlicher Sicherheitsfragen macht es für Nutzer schwieriger, erneut Zugriff auf ihr Konto zu erlangen, und stellt daher keine gute Lösung dar.
Das führt uns zur nächsten Frage: Was tun?
Sicherheitsfragen gelten seit langer Zeit als wesentlicher Bestandteil der Online-Authentifizierung. Doch angesichts der vorliegenden Erkenntnisse ist es für Nutzer und Website-Inhaber wichtig, sich noch einmal eingehender mit dem Thema auseinander zu setzen.
Wir legen Google-Nutzern dringend nahe, sicherzustellen, dass ihre Informationen für einen erneuten Zugriff auf ihr Google-Konto aktuell sind. Sie können diese Daten ganz einfach und schnell auf unserer Seite Security Checkup aktualisieren. Derzeit verwenden wir Sicherheitsfragen für ein erneutes Zugreifen auf das Konto nur in dem Fall, dass die hinterlegten Daten für den SMS- oder E-Mail-Versand nicht verwendet werden können, und wir werden diesen Mechanismus auch künftig nie als einzige Lösung nutzen, um unseren Nutzern einen erneuten Zugriff auf ihr Konto zu ermöglichen.
Parallel dazu sollten auch Website-Inhaber andere Methoden zur Authentifizierung nutzen, wie beispielsweise den Versand von Codes über SMS oder alternative E-Mail-Adressen, um die Authentizität ihrer Nutzer zu überprüfen und diesen einen erneuten Zugriff auf ihr Konto zu ermöglichen. Diese beiden Verfahren sind sicherer und bieten ein besseres Nutzererlebnis.
