Die richtige Antwort auf dumme Sicherheitsfragen und der Beweis, wie schnell man das Kinderporno-Stoppschild zu sehen bekommen kann, sind das Thema dieses Standpunkt Sicherheit.

Sicherheitsfragen - schlimmer als schwache Passwörter?

Sicherheitsfragen, die man beantworten muss, um ein vergessenes Passwort zurück zu setzen, sind oft eine mindestens genau so große Gefahr wie zu schwache Passwörter. Aktuell gibt es dazu zwei Meldungen: Zum einen einen Blogeintrag bei F-Secure, der sich mit den Sicherheitsfragen von Facebook befasst, zum anderen den Angriff auf Twitter, bei dem der Angreifer die Zugangsdaten über einen "gehackten" Yahoo-Mail-Account erhalten hat. Wobei "hacken" eindeutig das falsche Wort ist. "Heiteres Sicherheitsfragen-Antwort raten" trifft es besser. Yahoo, Mail, Sicherheitsfrage - war da nicht schon mal was? Genau: Auch der Yahoo!-Mail-Account von Sarah Palin wurde während des US-Präsidentschaftswahlkampfs über das Erraten der Antwort auf die Sicherheitsfrage "gehackt", siehe Standpunkt Sicherheit vom 22. September 2008.

Dumme Fragen, einfache Antworten

Wenn man sich mal als Beispiel die von F-Secure völlig zu Recht bemängelten Sicherheitsfragen von Facebook ansieht, erkannt man das Problem. Mädchenname der Mutter, Mittelname des Vaters, Straße, in der man aufgewachsen ist, das lässt sich über etwas Social Engineering oder eine Recherche im Internet oft sehr leicht ermitteln, und Freunde und Bekannte kennen die Antwort oft sogar genau so gut wie der Account-Inhaber. Und den Namen des ersten Haustiers oder den Ort des ersten Kusses kann man oft einfach raten, indem man es mit "Durchschnittswerten" versucht.

Das Problem ist nicht die Sicherheitsfrage an sich, sondern der Mangel an Alternativen. Wenn der Benutzer Frage und Antwort frei wählen kann, hat er zumindest die Chance, eine Frage mit schwer zu erratender Antwort zu wählen. Aber wenn er schon nur leicht erratbare Fragen vorgesetzt bekommt, kann das Ergebnis nur eine leicht erratbare Antwort sein. Das System ist also eindeutig "broken by design".

Schwachstelle selbst schließen

Jedem steht es frei, die Antworten nach Belieben zu wählen. Vor allem kann man natürlich auch eine falsche oder unsinnige Antwort geben. Die erste Möglichkeit, diese Schwachstelle zu schließen, ist also die Wahl einer wie ein Passwort gebildeten Kombination aus Buchstaben, Zahlen und Sonderzeichen als Antwort. Wie man ein gutes und merkbares Passwort bildet, habe ich im Standpunkt Sicherheit vom 17. November 2008 beschrieben. Das Problem im Fall der Sicherheitsfrage ist nur: Wenn man sein Passwort vergessen hat, hat man die Antwort auf die Sicherheitsfrage erst recht vergessen. Dagegen kann man sich schützen, indem man sie aufschreibt und in einem verschlossenen Umschlag im Tresor lagert. Zum Beispiel direkt neben dem Umschlag mit dem notierten Passwort.

Moment, werden jetzt einige von Ihnen denken - das ist doch eigentlich Blödsinn. Richtig, das ist es. Frei nach Murphy vergisst man das Passwort sowieso genau dann, wenn man nicht an die Umschläge dran kommt.

Man unterläuft damit also gerade den Zweck der Sicherheitsfrage: Auch dann noch Zugriff auf einen Account zu bekommen, wenn man das Passwort vergessen hat. Das kann man durchaus in Kauf nehmen, für manche privaten Accounts habe ich das auch gemacht. Wenn ich das Passwort vergessen sollte und dann sowohl notiertes Passwort als auch notierte Antwort auf die Sicherheitsfrage verloren gegangen sind, habe ich mit Sicherheit andere Sorgen als den nicht mehr mögliche Zugriff auf einen unwichtigen Mail-Account oder ähnliches.

Für Accounts, bei denen man im Notfall die Sicherheitsfrage beantworten können möchte, ist so ein Ansatz nicht sehr zielführend. Da muss es schon eine Antwort sein, die man entweder weiß oder die man sich merken kann. Solange man auch die Frage selbst wählen kann, ist das kein Problem. Es gibt genug Fragen, die man nur selbst beantworten kann. Schwieriger wird es, wenn man nur vorgegebene Fragen zur Auswahl hat.

Richtige Eingabe statt richtiger Antwort

Nehmen wir mal die Frage nach dem Mädchennamen meiner Mutter. Da gibt es nun mal nur eine richtige Antwort, und die kann man recht einfach rausbekommen. Die Antwort muss also etwas anderes sein. Da gibt es mehrere Möglichkeiten: Zum Beispiel könnte ich den Namen rückwärts eingeben - das weiß dann nur ich, und ein Angreifer würde das kaum versuchen (jetzt vermutlich schon, aber so einfach mache ich es den Bösewichten ja nun doch nicht). Oder ich streiche jeden zweiten Buchstaben oder schließe die Antwort in irgend eine nur mir bekannte Zeichenkette ein. Kurz: Ich sorge dafür, das nur ich die richtige Eingabe machen kann, auch wenn die richtige Antwort vielen bekannt ist.

Ein anderer Ansatz wäre eine Antwort, die man mit der Frage in Verbindung bringt und die man sich merken kann. Diese Fragen sind ja immer ziemlicher Blödsinn, als könnte die Antwort "Wer kommt auf so eine blöde Frage?" sein. Dabei sollte man nur daran denken, das man die Frage bei manchen Anbietern evtl. auch am Telefon beantworten muss.

Schwachstellentest für die Kinderporno-Filter

Der im vorigen Standpunkt Sicherheit angekündigte "Schwachstellentest" für die Kinderporno-Filter folgt in einem der nächsten Standpunkte. Aber auf ein Problem will ich aus aktuellem Anlass schon in dieser Woche eingehen. Über Ostern haben sich sehr viele neue Schwachstellenmeldungen angesammelt, so das ich nicht alle bearbeiten konnte. Die nicht kritischen Fälle habe ich daher teilweise zurückgestellt und erst nach und nach abgearbeitet. Letzte Woche war dann ein auf Milw0rm veröffentlichter Exploit für FreznoShop an der Reihe. FreznoShop - was ist das? Im Exploit ist http://sourceforge.net/projects/freznoshop/ als URL angegeben, dort erfährt man aber nur, das es 'no more available' ist. Etwas unbefriedigend. Die auf SourceForge angegebene Website ist http://www.freznoshop.de/, dort wird man mit einer HTTP-Basic-Authentication begrüßt. Na, mal sehen, was Secunia dazu zu sagen hat. Die haben die Schwachstelle in ihre Sammlung aufgenommen und auch einen Link zum Programm gespeichert: http://www.freznoshop.com/ - Ansurfen auf eigene Gefahr, da landet man auf http://www.naughty.com/, Titel 'FREE SEX VIDEOS, Free Porn Videos, Sex Movies - NAUGHTY'. Klarer Fall: Programm tot, Domain verfallen, und irgend jemand hat die Gelegenheit beim Schopf ergriffen und kassiert dort ab. Die noch vorhandenen Links sorgen für Besucher, und ein paar klicken ja vielleicht weiter.

So eine Seite könnte durchaus auch auf der Filterliste des BKA stehen. Und dann sehe ich das Stopschild und bekomme Besuch von der Polizei? Das sollten sich unsere Damen und Herren Politiker doch besser noch mal sehr gut überlegen. Ich glaube kaum, das die Wirtschaft begeistert sein wird, wenn der eCommerce einschläft, weil sich keiner mehr traut, auf irgend einen Link zu klicken.

Carsten Eilers