Da predigen wir seit über zwanzig Jahren, dass ein Userpasswort möglichst nicht aus dem Kontext des Benutzers erratbar sein darf. Da verbieten wir Geburtsdaten, Namen von Verwandten und/oder Haustieren, Lieblingsfarben, Geburtsorte, Länder, Früchte etc und sorgen dafür, dass die Passworte unserer Benutzer eher einem gemixten ABC-Cocktail als wirklichen Worten ähneln.
Und dann kommen neun von zehn Webdesignern daher und bauen in Ihre Applikationen eine "Sicherheitsfrage" ein, die man beantworten muss, wenn man das verdammte vergessene Passwort zurücksetzen möchte. Bei den meisten Webapplikationen kann man sich nichtmal aussuchen, welche Frage man in diesem Fall gestellt haben möchte, sondern man bekommt eine nicht veränderbare Auswahl vorgesetzt. Hier die Möglichkeiten aus einer Webapplikation meiner Kranken Versicherung:
- Wie heißt Ihr Haustier?
- In welchem Ort sind Sie geboren?
- Welche Farbe ist Ihre Lieblingsfarbe?
- Welches Auto ist Ihr Lieblingsauto?
- Wie lautet der Vorname Ihrer Mutter?
- Welches Land ist Ihr Lieblingsland?
- Welche Stadt ist Ihre Lieblingsstadt?
- Welche Frucht mögen Sie am liebsten?
- Welche Musikgruppe hören Sie am liebsten?
- Welches Tier mögen Sie am liebsten?
Da fasst man sich doch an den Kopf, oder? Wenn man also als Angreifer das Passwort des gewünschten Hacking-Opfers zurücksetzen will, reicht es Dinge zu wissen, von denen man seit zwanzig Jahren weiß, dass sie nicht für die Authentifikation geeignet sind, weil sie eben leicht ratbar beziehungsweise allgemein bekannt sind. De facto könnte man somit alle Passwortregeln wieder abschaffen und den Benutzern gleich erlauben, ein Passwort zu benutzen, das sie nicht bei der nächsten Gelegenheit wieder vergessen.
Mir fehlt die Phantasie, um mir auszudenken, was sich der erste Snowboarder gedacht haben muss, als er auf die geniale Idee mit der Sicherheitsfrage kam, um die Hotline zu entlasten. So bleibt nur die Vermutung, dass er einfach gar nicht gedacht hat.
