Zwang zur Sicherheitsfrage bei der Deutschen Bahn (Permalink)

Die Deutsche Bahn will seit 1.10.2019 beim Login, dass man eine Sicherheitsfrage für eine eventuelle Passwort Wiederherstellung vergibt. Ab 15.12.2019 wird dieser Schritt nicht mehr übersprungen werden können. Dies finde ich bedenklich.

Zunächst, welche möglichen Fragen bietet die Bahn an?

• Wie lautet der Geburtsname Ihrer Mutter?
• Wie lautet die Nummer einer Ihrer Kundenkarten oder Ausweise?
• Was ist Ihr Lieblingsbuch?
• Was ist Ihr Lieblingsfilm?
• Wie hieß Ihre erste Lehrerin oder Ihr erster Lehrer?
• Wie hieß Ihr erster bester Freund bzw. Ihre erste beste Freundin?

Als kleiner Denkanstoß: die Antworten auf diese Sicherheitsfragen werden (hoffentlich) selten benötigt. Seltener als das reguläre Passwort zum DB-Account.

Zu den Fragen im Detail:

Wie lautet der Geburtsname Ihrer Mutter?

Das ist wohl der Klassiker. Leider ein offenes Geheimnis und durch Social Engineering ohne Kontakt zum Opfer zu erfahren. Eine weitere Möglichkeit könnte Brute Force sein, wenn keine technischen Schutzmaßnahmen vorgesehen werden. Immerhin, ändert sich eher selten und der Kunde wird auch hier keine Probleme haben, sich an die Antwort zu erinnern, so er denn keinen Phantasienamen verwendet hat.

Wie lautet die Nummer einer Ihrer Kundenkarten oder Ausweise?

Finde ich persönlich besser als den Mädchennamen bzw. Geburtsnamen der Mutter zu verwenden. Aber mir kommt sofort der verzweifelte Bahnkunde in den Sinn, der sein Passwort vergessen hat, jetzt aber nicht mehr weiß, welche Kundenkarte oder Ausweis er verwendet hat. Hier hatte ich ja kurzzeitig überlegt, die Nummer der Bahncard zu nehmen, aber die ändert sich wohl mit jeder Bahncard. Ideal also zum Aussperren aus dem Account, da man sich nicht auf die Unveränderlichkeit der Nummer verlassen kann und im Zweifelsfall sicher vergisst, die Antwort auf die Sicherheitsfrage anzupassen.

Was ist Ihr Lieblingsbuch? und Was ist Ihr Lieblingsfilm?

Fasse ich zu einer Frage zusammen, da die Kritikpunkte ähnlich ausfallen. Diese beiden Angaben teilen sicherlich viele Menschen freizügig in den sozialen Medien (wieder ein offenes Geheimnis) oder es ändert sich auch hier einmal die Antwort.

Wie hieß Ihre erste Lehrerin oder Ihr erster Lehrer?

Erneut ein offenes Geheimnis oder durch Social Engineering zu erfahren. Alternativ kann hier eventuell auch erneut Brute Force zum Einsatz kommen. Immerhin, diese Antwort ist zumindest bei mir eindeutig und wird sich nicht mehr ändern.

Wie hieß Ihr erster bester Freund bzw. Ihre erste beste Freundin

Auch hier, als Nutzer vergisst man die Antwort oder ob man den Freund oder die Freundin als Antwort verwendet hat.

Fazit

Diese Sicherheitsfragen sind meiner Meinung nach alle nur mit einem weiteren Eintrag in der Kennwortverwaltung und einem randomisierten Passwort zu beantworten. Nach dem da bereits das erste Passwort liegt, ändert sich für mich nichts. Für die anderen Kunden der Bahn bleibt die Empfehlung hier ebenso vorzugehen.