BR24 Logo
BR24 Logo
Netzwelt

Sicherheitsfragen können Accounts unsicher machen | BR24

© dpa Themendienst

Account-Sicherheit sollte selbstverständlich sein - aber wie funktioniert's?

Per Mail sharen
Teilen

    Sicherheitsfragen können Accounts unsicher machen

    Ist der Mädchenname meiner Mutter wirklich geheim genug, um mein Passwort zu schützen? Experten sagen: Nein. Solche Sicherheitsfragen können sogar ein Risiko darstellen. Zum Glück gibt es einen besseren Weg.

    Per Mail sharen
    Teilen

    Der Mädchenname der Mutter, das erste Haustier, die Lieblingslehrerin in der Schule. Bei vielen Accounts, die man im Netz erstellt, muss man solche Fragen beantworten. Man kennt sie als Sicherheits- oder Geheimfragen. Der Grund: Sollte das Passwort verloren gehen, kann man durch die richtige Antwort sein Passwort wiederherstellen. Wer sich zum Beispiel auf bahn.de in seinen Account einloggt, wird seit Neuestem aufgefordert, eine Sicherheitsfrage samt Antwort einzustellen.

    Google und Web.de verzichten heute auf Sicherheitsfragen

    Das klingt erstmal gut. Aber trotz ihres Namens stehen Sicherheitsfragen nicht im Ruf, besonders sicher zu sein. Im Gegenteil: Google unterstützt schon seit 2014 keine Sicherheitsfragen zur Passwort-Wiederherstellung mehr, auch viele andere Online-Plattformen verzichten heute auf die Funktion. Seit diesem Jahr wird die Sicherheitsfrage auch bei den Email-Anbietern GMX und Web.de nicht mehr zur Registrierung abgefragt.

    Sicherheitsfragen sind unsicher

    Das Problem ist: Anders als Passwörter, die lang und komplex sein können, sind Sicherheitsfragen vergleichsweise leicht zu erraten. Den Mädchennamen der Mutter kann man eventuell durch eine einfache Facebook-Suche in Erfahrung bringen - oder über einen bereits auf anderem Weg gehackten Account.

    Und selbst wenn die Information nicht im Internet verfügbar ist, besteht die Gefahr einer "Brute Force-Attacke". Dabei probiert ein Bot einfach solange alle möglichen Antworten aus, bis die richtige Antwort gefunden ist. Und das geht bei der Sicherheitsfrage viel leichter als bei einem Passworts. Denn bei einem guten Passwort muss der Bot alle theoretisch möglichen Buchstaben-Zahlen-Kombinationen durchprobieren. Bei der Frage nach dem Mädchennamen der Mutter kann der Bot aber einfach eine Liste der 1.000 gebräuchlichsten Nachnamen in Deutschland durchlaufen lassen. Und bei der Frage nach dem ersten Haustier eine Liste mit Tiernamen.

    Es gibt bessere Alternativen

    Wer seine Accounts schützen will, sollte das auf andere Methoden setzen. Dazu gehören etwa die Zwei-Faktor-Authentifizierung und besonders sichere Passwörter via Passwort-Manager. Mehr Informationen dazu haben wir hier zusammengestellt.

    Und wenn man doch einmal eine Sicherheitsfrage einstellen muss - wie etwa auf bahn.de? Dann empfiehlt sich, die Aufforderung der Seite einfach zu ignorieren, und statt dem Mädchennamen der Mutter etwas völlig anderes einzutragen. Am besten betrachtet man die Antwort als ein zusätzliches Passwort - das heißt: Es sollte möglichst lang und schwer zu erraten sein.

    Auf Nachfrage von BR24 betont ein Sprecher der Bahn deshalb auch: "Kunden sind frei in der Gestaltung ihrer Antwort." Außerdem plane die Bahn, bald die Zwei-Faktor-Authentifizierung beim Login zu unterstützen.