Offener Brief zu Sicherheitsfragen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Dies bedeutet für die Bürgerinnen und Bürger auf der anderen Seite, dass sie die Zugriffsinformationen zu ihrem Konto wie beispielsweise auch ihren Haustürschlüssel nicht verlegen sollten. Sonst droht auch hier die Gefahr, sich auszusperren.

Ebenfalls als ungünstig kann sich erweisen, wenn man für die alternativ vorgesehenen Sicherheitsabfragen – vielleicht sogar zur Sicherheit – falsche Angaben macht, an die man sich dann später nicht mehr erinnern kann.

Eine Sicherheitsfrage ist eine Authentifizierungsmethode, die häufig als zusätzlicher Sicherheits-Layer sowie zur Wiederherstellung von vergessenen Passwörtern eingesetzt wird. Es handelt sich um ein gemeinsames Geheimnis.

Eine typische Sicherheitsfrage ist zum Beispiel: Wie lautet der Mädchenname Ihrer Mutter?

Es wird bemängelt, dass die in Sicherheitsfragen abgefragten Fakten meist öffentlich zugänglich sind und daher von Hackern leichter herausgefunden werden können als Passwörter. Manche Benutzer sind sich dessen bewusst und erfinden absichtlich falsche Antworten, die sie dann aber oft vergessen und somit das Konzept der Sicherheitsfrage ad absurdum führen.

Das grundsätzliche Problem bei Sicherheitsfragen ist, dass die richtige Antwort in fast allen Fällen nicht nur dem Benutzer sondern auch vielen anderen bekannt ist, oder über öffentliche Quellen wie z.B. Telefonbuch, Social Media, oder über Social-Engineering ermittelbar ist. Wikipedia zitiert Josh Levins In What City Did You Honeymoon? And other monstrously stupid bank security questions. Josh Levin ist natürlich nicht der einzige, der von Sicherheitsfragen abrät. Auch das NIST, OWASP, und Bruce Schneier (2005) raten eindeutig von Sicherheitsfragen ab. OWASP zitiert dabei auch Studien von Microsoft (2009) und Google (2015), die klar zeigen, dass Sicherheitsfragen nicht funktionieren. Sicherheitsfragen entsprechen also schon einige Zeit nicht dem Stand der Technik. ...

Werden Sicherheitsfragen verwendet, dann sollte man als Benutzer falsche Antworten eingeben – z.B. generierte Passwörter des Passwortmanagers – und sie dann auch am besten dort aufbewahren für den Fall, dass sie wirklich irgendwann zum Einsatz kommen sollten. Leider erschweren einige Verwender das dadurch, dass die Eingaben validiert werden und damit der Zufall begrenzt wird.

Da es sich laut dem verlinkten Text offenkundig um eine Basisregistrierung – also kein Vertrauensniveau nach eIDAS-Verordnung – handelt, wäre eine Absicherung des Zugangs zu einem derartigen Account mit Hilfe einer Sicherheitsabfrage bspw. bei einem vergessenen Passwort nicht unüblich.

Diese Vorgehensweise wird im Übrigen nach unsere Kenntnis noch bei vielen vergleichbar niedrigschwelligen privatwirtschaftlichen Angeboten gewählt (z.B. Wiederherstellung des Zugangs zu Freemail-Postfächern)

Vielfach speichern Bürgerinnen und Bürger in ihrem E-Mail-Konto viele E-Mails, aus denen sich zahllose persönliche Informationen und Querverbindungen ergeben.

Wirksamer Datenschutz setzt damit auch entsprechende Digitalkompetenzen bei allen Akteuren sowie ein Bewusstsein für den Schutz der eigenen Daten voraus. Hier werde ich mich weiterhin sowohl für einfache und verständliche aber sichere Systeme als auch für ein breiteres Datenschutzbewusstsein einsetzen.

NIST´s second draft of its SP 800-63-4—its digital identify guidelines—finally contains some really good rules about passwords:

Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based authentication (KBA) (e.g., What was the name of your first pet?) or security questions when choosing passwords.