Abo
  • Services:

Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.

Eine Analyse von veröffentlicht am
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten.
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten. (Bild: rawpixel/Unsplash)

Hat ein Nutzer das Passwort vergessen, mag es sehr komfortabel sein, die Telefonnummer oder E-Mail-Adresse auszuwählen, über die das Passwort zurückgesetzt werden kann. In diesem Fall sind Nutzer auch der Hotline dankbar, wenn diese unkompliziert und schnell wieder einen Zugriff auf das E-Mail- oder Social-Media-Konto ermöglicht. Doch die Einfachheit hat ihren Preis: Für Angreifer ist es auch nicht besonders kompliziert, die Konten zu übernehmen - oder Informationen über die Konteneigentümer zu sammeln. Dafür stehen den Angreifern verschiedene Wege offen: Sie können die hinterlegten E-Mail-Adressen kapern, SMS abfangen, Sicherheitsfragen recherchieren oder der Hotline des Social-Media- oder E-Mail-Anbieters eine gute Geschichte erzählen.

Inhalt:
  1. Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt
  2. Eine SMS und der Zugriff steht
  3. Über die Hotline zum E-Mail-Konto

Das Beispiel Facebook zeigt, wie leicht Angreifer mit nichts als einem scharfen Verstand über die Passwort-zurücksetzen-Funktion an persönliche Daten von Nutzern gelangen können. Wie die meisten Freemail- oder Social-Media-Dienste bietet das soziale Netzwerk die Funktion zum Erneuern des Passwortes prominent unter den Login-Feldern an. Damit lässt sich überprüfen, ob eine E-Mail-Adresse oder eine Telefonnummer bei einem Facebook-Account hinterlegt wurde. Hierzu muss nur auf "Konto vergessen?" geklickt werden, eine E-Mail-Adresse oder Telefonnummer eingetragen werden - und schon zeigt Facebook den Namen und das Profilfoto des zur E-Mail-Adresse oder Telefonnummer gehörenden Accounts an - sofern die Daten in einem Konto hinterlegt wurden. Auf die Frage, warum Facebook die Daten anzeige, antwortete ein Facebook-Sprecher ausweichend. Bekannt sei ihm das nicht, das müsse er prüfen. Golem.de hat auch auf weitere Nachfragen keine Antwort erhalten.

E-Mail-Adresse nur ein paar Sternchen entfernt

Über "Konto vergessen?" kann nicht nur ein vergessenes Konto wiedergefunden, sondern auch das Facebook-Passwort zurückgesetzt werden. Das soziale Netzwerk zeigt hierzu die im Konto hinterlegten E-Mail-Adressen oder Telefonnummern an, von denen eine ausgewählt werden kann. Die Zeichen und Ziffern der E-Mail-Adressen beziehungsweise Telefonnummern werden teilweise durch Sternchen ersetzt.

Ein ähnliches Verfahren hat sich auch bei vielen anderen Anbietern von E-Mail-Adressen oder sozialen Netzwerken etabliert. Auch die Freemail-Anbieter Web.de, GMX, Gmail und Telekom (@t-online.de) zeigen nach einem Klick auf "Passwort vergessen" die hinterlegten E-Mail-Adressen und die Telefonnummer mit Sternchen an. Es sei ein Ausgleich zwischen Komfort und Sicherheit, sagt der Telekom-Sprecher Christian Fischer. Entsprechend ist es weder besonders komfortabel noch besonders sicher. Während die Telekom laut Fischer immer wieder mit Kunden zu tun hat, die ihre eigene E-Mail-Adresse hinter den Sternchen nicht mehr erkennen, können Angreifer diese mitunter leicht erraten. In manchen Fällen können sie die Informationen auch bei mehreren Anbietern auslesen und entsprechend kombinieren, was das Erraten noch weiter vereinfacht.

Stellenmarkt
  1. Rolls-Royce Power Systems AG, Friedrichshafen
  2. Staufenbiel Institut, Köln

Ratespiel: Wie lautet die E-Mail-Adresse, mit der das Passwort zurückgesetzt werden kann?


Telekom: go*em@*****.**
GMX/Web.de: g****@golem.de
Twitter: go***@g****.**
Facebook: g****@g****.de
Google: go***@go***.**

Gelöschte E-Mail-Adressen neu registrieren

Kann die E-Mail-Adresse, mit der sich das Konto zurücksetzen lässt, erraten oder recherchiert werden, kann ein Angreifer versuchen, das Konto zu übernehmen. Am leichtesten hat er es, wenn die hinterlegten Informationen hoffnungslos veraltet sind und das Konto oder die Konten zum Zurücksetzen schon längst nicht mehr existieren, was nicht selten vorkommen dürfte. Wird eine alte E-Mail-Adresse vergessen, ist aber als Zurücksetz-Adresse eingetragen, haben Angreifer leichtes Spiel: Sie können die E-Mail-Adresse einfach neu registrieren - und anschließend das Passwort des anzugreifenden Kontos über sie zurücksetzen. Dazu braucht es keine großen Hacker-Skills, sondern nur eine kurze Recherche und ein paar Klicks.

Die alte Studi-Mail-Adresse oder die des längst gewechselten Arbeitgebers steht neben dem alten Freemail-Account, der schon ganz in Vergessenheit geraten war. Unbenutzte E-Mail-Adressen werden bei Freemailern zum Teil nach gewissen Zeiträumen gelöscht und können neu registriert werden. "Laut den GMX-AGB (und den Web.de-AGB) ist eine Wiedervergabe der Adresse nach einjähriger Inaktivität möglich. In der Praxis ist der Zeitraum deutlich länger und liegt bei zwei Jahren", erklärt GMX-Pressesprecher Martin Wilhelm. Bei anderen Freemailern funktioniert dieser Trick nicht so einfach: Die Telekom lösche keine E-Mail-Adressen - ob sie benutzt werden oder nicht, sagt Fischer.

Außer mit den hinterlegten E-Mail-Adressen lassen sich die E-Mail- und Social-Media-Konten häufig auch per SMS zurücksetzen. Auch hierdurch ergeben sich interessante Angriffsvektoren, für die zum Teil allerdings etwas mehr Know-how nötig ist.

Eine SMS und der Zugriff steht 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. 99,99€ (versandkostenfrei)
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  3. 54,99€
  4. 59,99€

Some0NE 07. Mär 2019 / Themenstart

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019 / Themenstart

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019 / Themenstart

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019 / Themenstart

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019 / Themenstart

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)

Kommentieren


Folgen Sie uns
       


Tesla Model 3 - Test

Das Tesla Model 3 ist seit Mitte Februar 2019 in Deutschland erhältlich. Wir sind es gefahren.

Tesla Model 3 - Test Video aufrufen
Überwachung: Wenn die Firma heimlich ihre Mitarbeiter ausspioniert
Überwachung
Wenn die Firma heimlich ihre Mitarbeiter ausspioniert

Videokameras, Wanzen, GPS-Tracker, Keylogger - es gibt viele Möglichkeiten, mit denen Firmen Mitarbeiter kontrollieren können. Nicht wenige tun das auch und werden dafür mitunter bestraft. Manchmal kommen sie aber selbst mit heimlichen Überwachungsaktionen durch. Es kommt auf die Gründe an.
Von Harald Büring

  1. Österreich Bundesheer soll mehr Daten bekommen
  2. Datenschutz Chinesische Kameraüberwachung hält Bus-Werbung für Fußgänger
  3. Überwachung Infosystem über Funkzellenabfragen in Berlin gestartet

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  2. EU-Urheberrecht Die verdorbene Reform
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Display-Technik: So funktionieren Micro-LEDs
Display-Technik
So funktionieren Micro-LEDs

Nach Flüssigkristallanzeigen (LCD) mit Hintergrundbeleuchtung und OLED-Bildschirmen sind Micro-LEDs der nächste Schritt: Apple arbeitet daran für Smartwatches und Samsung hat bereits einen Fernseher vorgestellt. Die Technik hat viele Vorteile, ist aber aufwendig in der Fertigung.
Von Mike Wobker

  1. AU Optronics Apple soll Wechsel von OLEDs zu Micro-LEDs vorbereiten

    •  /