Wer viel mit amerikanischen Websites zu tun hat, auf denen vertrauliche Daten behandelt werden - etwa beim Onlinebanking - dem wird vermutlich schon mal aufgefallen sein, dass immer mehr dieser Seiten ihre Authentifizierung verkomplizieren. Wenn man sich heute also bei einer dieser Seiten anmeldet, muss man nicht nur Benutzername und Kennwort eingeben sondern auch noch die mehr oder weniger geheime Antwort auf eine vorher ausgewählte Frage. Dabei handelt es sich um die so genannte neue Authentifizierungsart der "Möchtegern-2-Faktor-Authentifizierung".
Alles begann im Jahr 2005, als das Federal Financial Institutions Examination Council eine neue Richtlinie erließ: Authentication in an Internet Banking Environment - eine lohnenswerte Lektüre, wenn man Regulationen des Bankwesens durch die Regierung mag. Und wer tut das nicht? Alles in allem ging es dabei darum, dass Banken eine 2-Faktor-Authentifizierung zu implementieren hatten - bis zum Ende des Jahres 2006.
Der Gedanke dahinter war nicht besonders kompliziert. 2-Faktor-Authentifizierung basiert darauf, sowohl etwas abzufragen, was der Benutzer weiß als auch zu überprüfen, ob der Benutzer im (physikalischen) Besitz von etwas ist. Dazu könnten etwa Benutzername/Kennwort und einer dieser Schlüsselanhänger oder einfach ein TAN-Bogen auf Papier dienen.
Den Banken gefiel es allerdings überhaupt nicht, so etwas teures realisieren zu müssen. Sie entschlossen sich lieber dazu, die "Möchtegern-2-Faktor-Authentifizierung" zu erfinden. Dabei wird nicht nur überprüft, ob der Benutzer etwas weiß, es wird auch überprüft, ob er noch etwas anderes weiß. Bei der Charter One Bank etwa wurde man im Rahmen der Möchtegern-2-Faktor-Authentifizierung vor die Auswahl von drei "geheimen Fragen" gestellt:
Die Wahlmöglichkeiten waren groß - von "Wo steht Ihr Ferienhaus" bis "Was ist Ihr zweitliebster europäischer Roman aus der Postmoderne?" war alles dabei. Und wenn man Glück hatte, konnte man sich hinterher auch tatsächlich sowohl an die Antwort erinnern als auch an die korrekte Schreibweise.
Unglücklicherweise wurde die Möchtegern-2-Faktor-Authentifizierung ein Industriestandard. Eine kürzlich erfolgte Studie etwa berichtete davon, dass 96% aller Banken in den Vereinigten Staaten die empfohlene, richtige, 2-Faktor-Authentifizierung nicht umgesetzt hatten - zu Gunsten von "Authentifizierungsmethoden, die auf vertraulichen Informationen von den Kunden basieren". Das Problem damit ist natürlich, dass Standards nun mal das sind, was sie sind: Standards. So wie es sein sollte.
Schlimmer noch: Online Banking wird für eine der sichersten Aktivitäten im Internet gehalten. Wer, wenn nicht die Banken, sollte denn wissen, wie man online Sicherheit bietet? Wer also seine Webanwendung besonders sicher haben möchte, tut es den Onlinebanking-Portalen gleich.
Genau das dachte sich auch Russ' Firma. Als die Geschäftsleitung Wind davon bekam, wie "unsicher" ihre Webanwendung sei - schließlich fragte sie nur nach Benutzername und Kennwort - veranlasste sie, dass eine Sicherheitslösung, wie man sie von den Banken her kennt, programmiert würde. Im Vertrauen darauf, dass Onlinebanking-Portale doch sicherheitstechnisch wissen müssen, was sie tun, wurde eine eigene Version der Möchtegern-2-Faktor-Authentifizierung entwickelt. Nach dem Anmelden auf der Seite musste ein Benutzer noch vier Fragen aus einem Angebot von 16 Möglichkeiten aussuchen.
Die Benutzer allerdings waren davon nicht sonderlich begeistert. Eine Mail von einem verärgerten Kunden war etwa:
Sehr geehrte Damen und Herren,
Zusätzliche Sicherheit! Prima! Bringt mir nichts. Zum Thema:
Meinen Großvater habe ich nicht getroffen - er ist seit über 60 Jahren tot.
Meine Eltern redeten nie darüber, wo sie geboren wurden.
Ich war nie verheiratet und ich war auch nie auf dem College.
High School-Maskottchen? Also bitte! Die High-School ist Jahrzehnte her!
Und wer bitte hat eine Lieblingsfarbe?
Natürlich könnte ich mir einfach Antworten ausdenken, aber nachdem
ich mir diese niemals merken können würde, bringt mir das auch nichts.
Also muss ich sie aufschreiben, was aber wohl kaum besonders sicher ist.
Das bringt mir also alles nichts.
Mit freundlichen Grüßen,
N.N.
(Übersetzt von Florian Heinle)
