Wie ich meine Apple ID-Sicherheitsfragen hackte

Warum Sie Frage, wie “Was ist der Mädchenname Ihrer Mutter?” und “Was haben Sie letzten Sommer getan?” nicht schützen.

Anfang 2012 bekam ich ein MacBook. Zu diesem Zeitpunkt wusste ich wenig über Gadgets und hatte auch nicht geplant, weitere Apple-Geräte zu kaufen. Ich schaltete den Laptop an und erstellte einen Apple ID-Account. Wie verlangt, wählte ich ein Passwort und verschiedene Sicherheitsfragen.

 

Vier Jahre später habe ich auch ein iPad und natürlich habe ich verschiedene interessante Apps erworben (einige fand ich in dieser Liste, die von meinem Kollegen erstellt wurde). Mein Account wurde mir wertvoll und ich begann über seinen Schutz nachzudenken. Deshalb entschied ich mich für eine Zwei-Faktoren-Authentifizierung.

Es war nicht so einfach, wie es gewesen sein sollte; Apple würde es mir nicht gestatten, etwas in der Sicherheitsregisterkarte zu ändern, bis ich die Sicherheitsfragen nicht perfekt beantwortet hätte. Und die Antworten, die ich eingab, passten nicht.

Als ich versuchte, meine Sicherheitsfragen zu ändern, fand ich heraus, dass die Zweit-E-Mail, die ich für solche Vorgänge benutzte, nicht bestätigt worden war. Ich verstehe immer noch nicht, warum Apple eine unbestätigte E-Mail-Adresse als aktiv betrachten sollte, aber so war es, und so begann eine Endlosschleife.

Ich klickte mehrmals auf den „E-Mail bestätigen“-Link, aber erhielt keine Bestätigungs-E-Mail. Alles ging schief. Es war kein guter Zeitpunkt, um den technischen Support um Hilfe zu bitten, also gab es nur einen Weg – ich musste meine eigenen Sicherheitsfragen hacken.

Wie ich meine Fragen hackte

Die Fragen, die ich vor vier Jahren wählte, waren nicht so schwierig. Aber als ich an die Antworten dachte, stellte ich fest, dass sie jeder herausfinden konnte, wenn er einen Blick auf meinen Lebenslauf oder meinen Social-Network-Account werfen würde.

Wo war Ihr erster Job?

LinkedIn ist ein offensichtlicher Ort, an dem man die Antwort auf diese Frage finden kann.

Wo lernten sich deine Eltern kennen?

Meine Eltern wuchsen in der gleichen Stadt auf, in der ich geboren wurde – und lernten sich auch dort kennen und heirateten auch dort. Viele Menschen haben die gleiche Lebensgeschichte. Und viele geben ihren Geburtsort in sozialen Netzwerken an (und soziale Netzwerke bitten für gewöhnlich darum!). Diese Frage ist überhaupt nicht sicher.

Was ist Ihr Lieblingskinderbuch?

Nun, ich hatte verschiedene Lieblingsbücher in meiner Kindheit, aber die wahrscheinlichste Antwort war Der Hobbit, von J. R. R. Tolkien. Wie bei den anderen Antworten, war diese kein Geheimnis: Zunächst ist das Buch sehr beliebt. Zweitens wissen meine Freunde und Kommilitonen aus der Universität, dass ich verschiedene Hausarbeiten über Der Hobbit geschrieben habe. Meine halbfertige Diplomarbeit war elf russischen Übersetzungen von Der Hobbit gewidmet! Letztendlich war das einzige Rätsel zu dieser Frage, ob ich den Namen ausgeschrieben hatte oder nicht — „Der Hobbit oder Hin und zurück“ — vor vier Jahren.

security-questions-screenshot-en

Wusste ich alle Antworten, warum passten meine Antworten dann nicht? Es ist ganz einfach: Ich hatte Englisch als Hauptsprache auf meinem Account und das heißt, dass die Sicherheitsfragen auch auf Englisch waren. Aber vor vier Jahren beantwortete ich sie auf Russisch. Als ich die Sprache änderte und dieselben Antworten erneut eingab, passten sie. Aber selbst für Personen, die die Sprachen nicht ändern, können Sicherheitsfragen problematisch werden: Haben Sie Groß- und Kleinschreibung beachtet? Abkürzungen? Spitznamen?

Ich fing an, darüber nachzudenken, was eine gute Sicherheitsfrage ausmacht – und die Antwort.

Was ist eine gute Sicherheitsfrage? Wenn man eine Frage aus einer Liste auswählen muss, welche sollte man wählen?

Fünf Kriterien, die uns dabei helfen, gute Sicherheitsfragen von schlechten zu unterscheiden.

1. Unklarheit — Fragen müssen schwer zu erraten oder nachzuforschen sein. Ein Favorit vieler Banken ist z. B. der Mädchenname der Mutter. Ich werde nicht Ihre Zeit verschwenden, um Ihnen 9.000 Weg zu erklären, wie man den herausfinden kann.

2. Stabilität — die Antworten sollten sich mit der Zeit nicht ändern. Vermeiden Sie „beliebte“ Fragen, wie: Ihr Lieblingsjob, -Essen, -Band, -Film, -Restaurant, -Urlaubsort; das könnte sich in den nächsten Jahren ändern.

3. Einprägsamkeit — wir geben unsere Passwörter recht oft ein, aber wir müssen selten Sicherheitsfragen beantworten. Selbst wenn Sie sich an den Namen Ihres Grundschullehrers erinnern, können Sie ihn mit Dreißig vergessen haben – oder mit Sechzig – also versuchen Sie nicht Fragen zu wählen, deren Antworten Sie höchstwahrscheinlich in den nächsten ein, zwei Jahrzehnten vergessen werden.

4. Einfachheit — viele Fragen haben verschiedene richtige Antworten. Wo hatten Sie Ihren ersten Kuss? Das könnte „New York“, „New York City“, „NYC“, „Central Park“, usw. gewesen sein. Bieten Sie sich nicht selbst eine einfache Möglichkeit, falsch zu liegen; vermeiden Sie Fragen, auf die Sie viele Antworten geben können.

5. Wählen Sie Vielfalt — Fragen, auf die man mit „Ja“ und „Nein“ antworten kann, sind fürchterlich. Selbst ein Fremder hat eine 50 % Chance, da richtig zu liegen! Auf gute Sicherheitsfragen gibt es unendlich viele Antworten – und Sie sollten die einzige Person sein, die auf sie eine Antwort hat.

Nehmen Sie sich vor Social-Media-Phishing in Acht

Sie haben wahrscheinlich einige Social-Media-Umfragen und -Ratespiele gesehen, die zur Nostalgie einladen, indem Sie Ihre „ersten 7 Stellen“ oder „erste Flugreise“ teilen sollen. Das sind Goldschätze für soziale Ingenieure. Tatsächlich stammen sie häufig von Kriminellen.
myfirstsevenjob-flashmob-is-bad

Wenn Sie möchten, können Sie selbst die Antwort der schlechtesten Sicherheitsfrage so ändern, dass sie keiner erraten kann – was ist der Mädchenname Ihrer Mutter? XCU*(&S1042! — aber Sie müssen dabei aufpassen und sich nicht selbst in die Irre führen.

Eine bessere Option ist es, wenn Sie den Mädchennamen Woodhouse nehmen und ihn auf die Konsonanten reduzieren: wdhs. Unterbrechen Sie den Geburtstag und ändern Sie 04.08.80 zu 04wd08hs80. Kein brillanter Trick, aber viel besser als das Original.

Diese Methode ist die beste für solche Sicherheitsfragen, auf die man oft antworten muss — z. B., wenn Sie Ihre Bank anrufen müssen. Wenn Sie von Zeit zu Zeit daran denken, wird die Kombination Ihnen in Erinnerung bleiben.

Schlussendlich gibt es bessere Arten als Sicherheitsfragen, um Ihre Accounts zu schützen – z. B. Zwei-Faktoren-Authentifizierung.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.