Es gibt mehrere Methoden, wie man sich gegenüber IT Systemen authentisieren kann, also beispielsweise die Zugehörigkeit zwischen einer User-ID und der eigenen Person nachweisen kann. Neben Verfahren, die auf Besitz (Smartcards, One-Time-Passwort-Token) und Sein (biometrische Verfahren wie Fingerabdruckleser, Iris-Scanner) prüfen, sind insbesondere Verfahren, die nach Wissen prüfen (Passwort) sehr verbreitet.
Das grundlegende Problem bei komplexen Passwörtern ist jedoch, dass man sie leicht vergißt, selbst wenn man sie aufschreibt (zu pro und contra von Passwortnotizen kommen wir ein anderes mal). Bei jedem besseren passwortbasierten Authentifikationsverfahren muss es daher eine Möglichkeit geben, sich anderweitig gegenüber dem System zu authentisieren, um ein neues Passwort zu erhalten oder selbst wählen zu können.
Im Webanwendungsbereich ist hier die Möglichkeit, sich vergessene Passworte an die eigene E-Mail-Adresse zusenden zu lassen, sehr verbreitet, im Unternehmensumfeld und auch gerade bei Webprovidern geht man jedoch teilweise auch den Weg, anderes Wissen abzufragen.
Hier werden Fragen nach der Farbe des ersten Autos, dem Mädchennamen der Mutter, dem eigenen Geburtsort und viel mehr gestellt. Zumeist muss man vorab einen Pool an persönlichen Fragen beantworten, aus dem dann ein paar Fragen zur Identifikation ausgewählt werden.
Dieses Verfahren schützt sicherlich vor dem zufälligen Angriff auf die eigene Identität, jedoch werden in Zeiten von Web2.0 derartige Informationen immer sensibler. Man kann nun also die vorgegebene Eingabefelder nutzen, um hier eine Auswahl eigener Passwörter einzugeben oder man kann sämtliche Eingaben mit einem Prä- oder Suffix versehen (so wird aus Winzen dann $Winzen12, aus Leverkusen $Leverkusen12), jedoch haben auch diese Ergänzungen und Passwortauswahlen leider die Eigenschaft vergessen zu werden.
Daher bietet es sich an, statt der eigenen Identität zur Beantwortung dieser Informationen in eine andere Person zu schlüpfen. In Zeiten von Google, Web 2.0 und immer noch existierender Freund- oder Partnerschaften sollte es nicht besonders schwierig sein, eine Person zu finden, deren Informationen man hier statt der eigenen eingeben kann. Sich diese Person zu merken, sollte keine besondere Schwierigkeit darstellen und die genauen Details, die abgefragt werden, können entweder über eine Internetrecherche mittels jedem beliebigen Browser oder durch eine sehr gute Kenntnis der genutzten Person sehr schnell ermittelt werden.
Vorteil dabei ist, dass dieses System sehr robust gegen eine Vielzahl von Angriffen ist. Weder durch Social Engineering, intensiver Recherche noch durch einfaches Ausprobieren kann ermittelt werden, welche Daten genutzt wurden. Selbst die Person, deren Informationen man statt der eigenen genutzt hat, weiß im Regelfall nicht davon, dass die Zuordnung zwischen wiederherzustellender Identität und Informationen, die abgefragt werden, bewußt verändert wurde und kann daher, auch wenn sie natürlich über das gesamte abgefragte Wissen verfügt, die Antworten nicht korrekt geben.
Um die Anwendung dieser verdrehten Antworten ein wenig einfacher zu machen, liste ich hier die Antworten auf gängige Fragen für meine Person auf, um so die Identität “Christian Louis” für dieses Verfahren auch für weniger gute Freunde nutzbar zu machen:
Mädchenname der Mutter: Winzen
Name der ersten Freundin: Yvonne
Farbe des ersten eigenen Autos: silber
Kennzeichen des ersten Autos: LEV-AT-320
Lieblingsfarbe: Blau
Lieblingstier: Katze
Geburtsort: Leverkusen
Lieblingsküche: Mexikanisch
Lizenz
security-thoughts.org von Christian Louis steht unter einer Creative Commons Namensnennung-Keine kommerzielle Nutzung-Weitergabe unter gleichen Bedingungen 2.0 Deutschland Lizenz.
Latest Comments
RSS