Sicherheitsfragen
Es ist noch Zeit für einen kurzen Rant vor Weihnachten.
Es ist noch Zeit für einen kurzen Rant vor Weihnachten.
Vor einiger Zeit hat Apple verlangt, dass ich drei „Sicherheitsfragen“ beantworte, „falls ich mein Passwort vergesse“.
Zunächst mal: Ich vergesse mein Passwort nicht. Und wenn doch, dann habe ich garantiert größere Probleme, als meine Apple ID – ich habe, wie sich das gehört, ein einfach zu merkendes Passwortschema, mit dem ich für jeden Dienst ein anderes, einmaliges Passwort „berechnen“ kann. Da ich diese Berechnung mehrmals täglich durchführe, vergesse ich das nicht – da müsste ich schon ernsthafte mentale Probleme bekommen. Und notfalls ist das Schema auch noch an einer geheimen Stelle notiert.
Andererseits stellen diese „Sicherheitsfragen“ ein ernsthaftes Sicherheitsrisiko dar, da alle Fragen vorgegeben sind. Und diese vorgegebenen Fragen dürften für viele Menschen mit etwas Recherche oder Social Engineering einfach zu beantworten sein. Beispielsweise ist über mich relativ einfach herauszufinden, in welcher Straße ich als Kind wohnte oder wie mein erster Grundschullehrer hieß. Noch viel einfacher dürfte bei vielen Menschen die Frage nach der Lieblingssportmannschaft zu beantworten sein.
Die einzige Möglichkeit, die Sicherheitslücke zu schließen, die diese Fragen darstellen (schließlich kann jeder, der sie beantworten kann, den Account übernehmen), ist also, sie falsch zu beantworten. Natürlich wäre die Sache einfacher, wenn man die Fragen auch selbst formulieren könnte, doch diese Möglichkeit sieht Apple nicht vor.
Daher habe ich die Zwangsfragen beantwortet, indem ich blind auf die Tastatur geschlagen habe. Alles gut, dachte ich, so wird nie jemand ohne das Passwort auf den Account zugreifen können – nichtmal ich selbst.
Nun verwendet Apple die Sicherheitsfragen aber offenbar nicht nur, wenn der Nutzer sein Passwort vergessen hat. Wenn man ein neues Gerät einrichtet, wird man normalerweise beim ersten Kauf mit der Apple ID auf diesem Gerät dazu aufgefordert, die Kreditkartendaten zu bestätigen. Wenn man allerdings einen Account ohne Kreditkarte hat – muss man seine Sicherheitsfragen beantworten. Kann man das nicht, kann man auf dem neuen Gerät nichts kaufen.
Und seine Sicherheitsfragen ändern kann man auch nicht, ohne sie zu wissen.
Eine Nachfrage beim Apple-Support erwies sich als eher ernüchternd:
[…] „Es tut mir leid zu hören, dass Sie Schwierigkeiten mit Ihren Sicherheitsfragen haben. Wie ich verstehe, können Sie sich an die Antworte nicht mehr erinnern und Sie benötigen Hilfe, diese zurück zu setzen. Aus Sicherheitsgründen kontaktieren Sie bitte unser Account Sicherheits Team für weitere Unterstützung. Unsere Kollegen werden Ihnen gern weiterhelfen. “
[…]
„Wenn Sie anrufen, fragen Sie nach einem Mitarbeiter des Account Sicherheits Teams.“
[…]
Na vielen Dank. Mir fällt noch eine viel einfachere Lösung ein: ich rufe da nicht an, sondern geb mein Geld einfach nicht im App Store aus.