Bereits seit einiger Zeit verzichtet Google auf das Anlegen einer Sicherheitsfrage bei Google Accounts. Inzwischen kann man bei bestehenden Konten die Sicherheitsfrage auch entfernen, weil diese eigentlich auch eine Sicherheitslücke darstellen kann. In einer Grafik hat Google nun einige Fragen an die Sicherheitsfrage veröffentlicht.
Unterm Strich kommt heraus, dass die Umstellung auf eine alternative E-Mail-Adresse bzw. SMS als Recovery Option zu empfehlen ist. Oft wird für Sicherheitsfragen empfohlen, dass man gefälschte Antworten nehmen soll. Dies hat oft zum Nachteil, dass sich der Nutzer aber nicht mehr an die „korrekte“ Antwort erinnert.
Google fragt den Nutzer auch regelmäßig, ob die hinterlegten Optionen zur Kontowiederherstellung noch aktuell sind und bittet diese ggf. zu aktualisieren.
Im Blogbeitrag schreibt Google folgendes zu den Erkenntnissen.
- Hacker haben eine 19,7%ige Chance, bereits mit einem Versuch die richtige Antwort englischsprachiger Nutzer auf die Frage „Was ist Ihr Lieblingsessen?“ zu treffen. (Diese lautet übrigens ‚Pizza‘.)
- Hacker haben eine beinahe 24%ige Chance, mit zehn Versuchen die Antwort arabischsprachiger Nutzer auf die Frage „Wie lautet der Name Ihres ersten Lehrers?“ zu treffen.
- Hacker haben eine 21%ige Chance, mit zehn Versuchen die Antwort spanischsprachiger Nutzer auf die Frage „Wie lautet der Zweitname Ihres Vaters?“ zu treffen.
- Hacker haben eine 39%ige Chance, mit zehn Versuchen die Antwort koreanischsprachiger Nutzer auf die Frage „Wie lautet Ihr Geburtsort?“ zu treffen und eine 43%ige Chance, das Lieblingsessen dieser Nutzer zu erraten.
Googles Empfehlung auch für andere Unternehmen, die Sicherheitsfragen für die Kontowiederherstellung nutzen, ist der Verzicht auf Sicherheitsfragen und diese durch SMS oder Mails auf andere Adressen zu ersetzen. Zusätzlichen Schutz der Ansatz eines zweiten Faktors bei der Authenifizierung, etwa ein Code per SMS oder per Key auf dem USB-Stick.
Die Sicherheitsfrage wird von Google an einer Stelle in der Tat noch genutzt: Scheitert die Wiederherstellung an der SMS oder E-Mail so wird die Sicherheitsfrage tatsächlich gestellt. Dies geschieht aber nur, wenn es weitere Faktoren gibt, dass wirklich der Nutzer selbst den Zugriff versucht.