Abo
  • IT-Karriere:

Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.

Eine Analyse von veröffentlicht am
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten.
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten. (Bild: rawpixel/Unsplash)

Hat ein Nutzer das Passwort vergessen, mag es sehr komfortabel sein, die Telefonnummer oder E-Mail-Adresse auszuwählen, über die das Passwort zurückgesetzt werden kann. In diesem Fall sind Nutzer auch der Hotline dankbar, wenn diese unkompliziert und schnell wieder einen Zugriff auf das E-Mail- oder Social-Media-Konto ermöglicht. Doch die Einfachheit hat ihren Preis: Für Angreifer ist es auch nicht besonders kompliziert, die Konten zu übernehmen - oder Informationen über die Konteneigentümer zu sammeln. Dafür stehen den Angreifern verschiedene Wege offen: Sie können die hinterlegten E-Mail-Adressen kapern, SMS abfangen, Sicherheitsfragen recherchieren oder der Hotline des Social-Media- oder E-Mail-Anbieters eine gute Geschichte erzählen.

Inhalt:
  1. Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt
  2. Eine SMS und der Zugriff steht
  3. Über die Hotline zum E-Mail-Konto

Das Beispiel Facebook zeigt, wie leicht Angreifer mit nichts als einem scharfen Verstand über die Passwort-zurücksetzen-Funktion an persönliche Daten von Nutzern gelangen können. Wie die meisten Freemail- oder Social-Media-Dienste bietet das soziale Netzwerk die Funktion zum Erneuern des Passwortes prominent unter den Login-Feldern an. Damit lässt sich überprüfen, ob eine E-Mail-Adresse oder eine Telefonnummer bei einem Facebook-Account hinterlegt wurde. Hierzu muss nur auf "Konto vergessen?" geklickt werden, eine E-Mail-Adresse oder Telefonnummer eingetragen werden - und schon zeigt Facebook den Namen und das Profilfoto des zur E-Mail-Adresse oder Telefonnummer gehörenden Accounts an - sofern die Daten in einem Konto hinterlegt wurden. Auf die Frage, warum Facebook die Daten anzeige, antwortete ein Facebook-Sprecher ausweichend. Bekannt sei ihm das nicht, das müsse er prüfen. Golem.de hat auch auf weitere Nachfragen keine Antwort erhalten.

E-Mail-Adresse nur ein paar Sternchen entfernt

Über "Konto vergessen?" kann nicht nur ein vergessenes Konto wiedergefunden, sondern auch das Facebook-Passwort zurückgesetzt werden. Das soziale Netzwerk zeigt hierzu die im Konto hinterlegten E-Mail-Adressen oder Telefonnummern an, von denen eine ausgewählt werden kann. Die Zeichen und Ziffern der E-Mail-Adressen beziehungsweise Telefonnummern werden teilweise durch Sternchen ersetzt.

Ein ähnliches Verfahren hat sich auch bei vielen anderen Anbietern von E-Mail-Adressen oder sozialen Netzwerken etabliert. Auch die Freemail-Anbieter Web.de, GMX, Gmail und Telekom (@t-online.de) zeigen nach einem Klick auf "Passwort vergessen" die hinterlegten E-Mail-Adressen und die Telefonnummer mit Sternchen an. Es sei ein Ausgleich zwischen Komfort und Sicherheit, sagt der Telekom-Sprecher Christian Fischer. Entsprechend ist es weder besonders komfortabel noch besonders sicher. Während die Telekom laut Fischer immer wieder mit Kunden zu tun hat, die ihre eigene E-Mail-Adresse hinter den Sternchen nicht mehr erkennen, können Angreifer diese mitunter leicht erraten. In manchen Fällen können sie die Informationen auch bei mehreren Anbietern auslesen und entsprechend kombinieren, was das Erraten noch weiter vereinfacht.

Stellenmarkt
  1. Bundesamt für Kartographie und Geodäsie, Bad Kötzting
  2. SEITENBAU GmbH, Konstanz

Ratespiel: Wie lautet die E-Mail-Adresse, mit der das Passwort zurückgesetzt werden kann?


Telekom: go*em@*****.**
GMX/Web.de: g****@golem.de
Twitter: go***@g****.**
Facebook: g****@g****.de
Google: go***@go***.**

Gelöschte E-Mail-Adressen neu registrieren

Kann die E-Mail-Adresse, mit der sich das Konto zurücksetzen lässt, erraten oder recherchiert werden, kann ein Angreifer versuchen, das Konto zu übernehmen. Am leichtesten hat er es, wenn die hinterlegten Informationen hoffnungslos veraltet sind und das Konto oder die Konten zum Zurücksetzen schon längst nicht mehr existieren, was nicht selten vorkommen dürfte. Wird eine alte E-Mail-Adresse vergessen, ist aber als Zurücksetz-Adresse eingetragen, haben Angreifer leichtes Spiel: Sie können die E-Mail-Adresse einfach neu registrieren - und anschließend das Passwort des anzugreifenden Kontos über sie zurücksetzen. Dazu braucht es keine großen Hacker-Skills, sondern nur eine kurze Recherche und ein paar Klicks.

Die alte Studi-Mail-Adresse oder die des längst gewechselten Arbeitgebers steht neben dem alten Freemail-Account, der schon ganz in Vergessenheit geraten war. Unbenutzte E-Mail-Adressen werden bei Freemailern zum Teil nach gewissen Zeiträumen gelöscht und können neu registriert werden. "Laut den GMX-AGB (und den Web.de-AGB) ist eine Wiedervergabe der Adresse nach einjähriger Inaktivität möglich. In der Praxis ist der Zeitraum deutlich länger und liegt bei zwei Jahren", erklärt GMX-Pressesprecher Martin Wilhelm. Bei anderen Freemailern funktioniert dieser Trick nicht so einfach: Die Telekom lösche keine E-Mail-Adressen - ob sie benutzt werden oder nicht, sagt Fischer.

Außer mit den hinterlegten E-Mail-Adressen lassen sich die E-Mail- und Social-Media-Konten häufig auch per SMS zurücksetzen. Auch hierdurch ergeben sich interessante Angriffsvektoren, für die zum Teil allerdings etwas mehr Know-how nötig ist.

Eine SMS und der Zugriff steht 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. ab 194,90€
  2. täglich neue Deals bei Alternate.de
  3. 99,90€

Some0NE 07. Mär 2019 / Themenstart

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019 / Themenstart

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019 / Themenstart

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019 / Themenstart

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019 / Themenstart

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)

Kommentieren


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

    •  /