Sicherheitsfragen

Oder: Wie ich eine Apple-Mitarbeiterin beeindruckt habe und warum ich Bahn-Tickets meist am Automaten kaufe.

Sind wir doch mal ehrlich: Dieses Sicherheitsgehabe im Internet nervt doch jeden. Man muss ein komplexes Passwort mit Groß- und Kleinbuchstaben, drölfzig Sonderzeichen und den 7 Nachkommastellen der Eulerschen Zahl (7182818) festlegen, eine Haupt-Mailadresse und eine Ausweichmailadresse angeben und dann auch noch meist Sicherheitsfragen beantworten, bei denen man sich doch schon fast in seiner Privatsphäre verletzt vorkommt.

Ich gebe es gern zu: meinen Umgang mit Passwörtern habe ich wohl von meinem Vater geerbt. Ich setze sie in dem festen Glauben, dass das für mich doch ein Klacks ist, mich wieder daran zu erinnern, schreibe sie mir entweder gar nicht auf oder notiere sie mir irgendwo auf einem Schmierzettel, der dann doch irgendwann in den Untiefen meines organisatorisch wertvollen Papierwirrwars irgendwo zwischen Notizen zu Algorithmen und dem Versuch, eine Formel korrekt zu notieren und anzuwenden, der aktuellen Post, meiner Lektüre, Bedienungsanleitungen, Dokumentationen oder anderen Unterlagen des alltäglichen Lebens und des Kleinstunternehmertums verschwindet.

2 Wochen später benötige ich dann den Zugang. Ein großer Fan dieser Browser, die einem Nutzernamen Passwörter, zuvorkommend wie sie sind, speichern und ausfüllen können um dann das Ganze mit mangelhafter Verschlüsselung in irgend eine Cloud zu hauen, bin ich ganz und gar nicht. Vielleicht bin ich da auch einfach zu Misstrauisch.

Ein Paradebeispiel ist das Onlineportal der Bahn. Die Vorgaben für Passwort und Nutzernamen sind mehr als stumpfsinnig (wer hätte auch etwas anderes erwartet), so dass ich immer mein Bahn-Passwort vergesse. Wirklich immer. Auch lange Recherche bringt nichts. Und nach 5 Falschen Eingaben, wird mein Account dann auch noch gesperrt. Toll! Kaufe ich halt mein Ticket am Automaten, dann muss ich immerhin nicht diese nervige Scan- und Ausweisprozedur im Zug über mich ergehen lassen und bin nicht ganz so nachverfolgbar, da via Automatenticket auch meine BahnCard nicht gescannt wird. (Sofern ich keine dieser sinnlosen Bahn-Treuepunkte sammle, von denen ich zum Schluss nicht einmal einen Toaster bekomme.)

. . .

Ich möchte mich also einloggen. Die Notwendigkeit eines einzigartigen Nutzernamens in einem Portal, welches kein Soziales Netzwerk ist, habe ich noch nie verstanden. Ich erkläre jedes Unternehmen, das einen Nutzernamen von mir Möchte, für nicht Überlebensfähig — denn logisches Denken wurde denen eher nicht in die Wiege gelegt. Ich habe so 2–4 Nutzernamen, die ich verwende. Je nach dem, welcher schon belegt ist. Wäre ja auch quatsch, würde die Firma eine E-Mail Adresse zur Authentifizierung zu verwenden. Die sind ja nur genau so einzigartig.

Ergo: Ich suche zunächst meinen Nutzernamen. In allen meiner E-Mail Accounts. Ich habe insgesamt 5, wovon ich in der Regel 3 je nach Gutdünken für Registrierung verwende. In der Regel finde ich dann meinen Nutzernamen und schaffe es, einen Password-Request abzusondern. Dann kommt eine Mail mit einem Link. Der Link führt mich über 5 Referrer zu einer Seite.

Da ist dann auch schon die nächste Hürde: Die Sicherheitsfragen. Man muss zwischen 2 und 5 verschiedene Fragen bei einer Registrierung beantworten und wird zufällig nach 3 davon gefragt. Oder man beantwortet bei Registrierung nur eine Einzige, die man sich garantiert nicht merken kann.

Richtig, man wird nach den Fragen gefragt, die man sich ausgesucht hat. Wenn es blöd läuft. Wenn es gut läuft, bekommt man immerhin die Fragen vorgesetzt.

. . .

Ich habe vor einer Weile mit dem Apple-Support telefoniert, da meine ID partiell gesperrt wurde. Die Mitarbeiterin fragte mich freundlich, ob ich meine notierten Sicherheitsfragen zur Hand hätte. Ich verneinte und nahm eine deutliche Resignation in ihrer Stimme wahr.

Sie stellte mir die Fragen, bei denen ich nach kurzem Überlegen immer die richtige Antwort auf Anhieb parat hatte. Ich habe die Fragen tatsächlich taktisch klug beantwortet — und mir dazu nur die Art von Fragen ausgesucht, auf die es nur eine mögliche Antwort gibt, die nur ich oder meine Familie geben können. Die nette Dame an der Hotline meinte fast schon überschwänglich, dass ihr das noch quasi nie untergekommen sei und sie sich freut, dass es auch mal gut laufen kann.

Diese Sicherheitsfragen sind oft gar nicht so ein schlechter Mechanismus der Authentifizierung.

Wie kann man als Unternehmen, gerade im Internet-Sektor, vermeiden, dass Millionen von Accounts missbraucht werden? Ich habe einen neuen Freund gefunden. Er heißt Zwei-Schritt Authentifizierung. Ich bemängele, dass bspw. Amazon oder Bahn diese Möglichkeit der Absicherung nicht anbieten, obwohl der Mechanismus doch denkbar einfach ist.

Ich kann mir ein verhältnismäßig “lasches” Passwort auswählen. Ohne das zweite Endgerät (z.B. Smartphone), auf dem ein nur kurz gültiger Authentifizierungscode mittels eines privaten Schlüssels generiert wird. nachdem ich mich mit Nutzernamen und Passwort authentifiziert habe, werde ich danach gefragt. Habe ich die Authenticator-App nicht oder keinen privaten Schlüssel, komme ich nicht weiter.

Ärgerlich, wenn der Akku alle ist. Super, wenn man wie ich ein unter Gedächtnisschwäche leidender Mensch ist, der quasi alle seiner Passwörter sowieso irgendwann vergisst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

wortkrieg, 2017.