Genau! Es geht um „Sicherheitsfragen“, die bereits seit Langem als Backup-Mechanismus verwendet werden, um wieder auf Online-Konten zugreifen zu können, wenn man z. B. sein Passwort vergessen hat. Es handelt sich dabei um eine recht gängige Methode, die von vielen Anbietern verwendet wird, weil sie auf einfache Weise zusätzlichen Schutz bietet. Das stellt eine neue Studie von Google nun allerdings in Frage. Die an der Studie beteiligten Forscher behaupten, dass ihre „Analyse bestätigt, dass Sicherheitsfragen im Allgemeinen ein viel niedrigeres Sicherheitsniveau bieten als von Nutzern erstellte Passwörter.“
Für die Studie analysierten sie hunderte Millionen von Sicherheitsantworten und Millionen von Zurücksetzungsanfragen von Google-Nutzern. Sie zogen den Schluss, dass „Sicherheitsfragen in der Praxis nur wenig Schutz bieten und die Antworten oft vergessen werden […]. Bei Millionen Versuchen zur Kontowiederherstellung konnte ein signifikanter Anteil der Nutzer (z. B.40 % unserer englischsprachigen Nutzer) sich nicht an ihre Antwort erinnern. Die Erfolgsrate ist geringer als die von alternativen Wiederherstellungsmechanismen, wie z. B. Codes zum Zurücksetzen, die per SMS versendet werden (über 80%).“
Auch beim Schutz sieht es nicht besser aus. Wenn man raten müsste, welche Antwort ein englischsprachiger Nutzer auf die Frage „Was ist Ihr Lieblingsessen?“ gegeben hat, läge man mit Pizza meistens richtig: 19,7% haben anscheinend den gleichen Geschmack. In einem spanischsprachigen Land hätte man eine 3,8% Erfolgsaussicht die Frage nach dem zweiten Vornamen des Vaters richtig zu beantworten und bei 39% der Koreanisch sprechenden Nutzer bräuchte man durchschnittlich nur 10 Versuche, um ihren Geburtsort zu erraten. Die Tatsache, dass 37% der Nutzer falsche Antworten geben, um eine Beantwortung zu erschweren, hilft auch nicht weiter. Ihr kleiner Trick hat da eher den gegenteiligen Effekt, weil sie nun die Fragen auf vorhersehbare Weise beantworten.
Die Google-Forscher kamen zu dem Schluss, dass es fast unmöglich ist, die perfekte Sicherheitsfrage zu finden, nämlich eine, die sowohl einprägsam als auch sicher ist. Google selbst bevorzugt SMS und zweite E-Mail-Adressen, um die Identität seiner Nutzer zu bestätigen, gibt aber zu, dass auch diese Lösungen nicht perfekt sind.
