Abo
  • Services:

Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.

Eine Analyse von veröffentlicht am
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten.
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten. (Bild: rawpixel/Unsplash)

Hat ein Nutzer das Passwort vergessen, mag es sehr komfortabel sein, die Telefonnummer oder E-Mail-Adresse auszuwählen, über die das Passwort zurückgesetzt werden kann. In diesem Fall sind Nutzer auch der Hotline dankbar, wenn diese unkompliziert und schnell wieder einen Zugriff auf das E-Mail- oder Social-Media-Konto ermöglicht. Doch die Einfachheit hat ihren Preis: Für Angreifer ist es auch nicht besonders kompliziert, die Konten zu übernehmen - oder Informationen über die Konteneigentümer zu sammeln. Dafür stehen den Angreifern verschiedene Wege offen: Sie können die hinterlegten E-Mail-Adressen kapern, SMS abfangen, Sicherheitsfragen recherchieren oder der Hotline des Social-Media- oder E-Mail-Anbieters eine gute Geschichte erzählen.

Inhalt:
  1. Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt
  2. Eine SMS und der Zugriff steht
  3. Über die Hotline zum E-Mail-Konto

Das Beispiel Facebook zeigt, wie leicht Angreifer mit nichts als einem scharfen Verstand über die Passwort-zurücksetzen-Funktion an persönliche Daten von Nutzern gelangen können. Wie die meisten Freemail- oder Social-Media-Dienste bietet das soziale Netzwerk die Funktion zum Erneuern des Passwortes prominent unter den Login-Feldern an. Damit lässt sich überprüfen, ob eine E-Mail-Adresse oder eine Telefonnummer bei einem Facebook-Account hinterlegt wurde. Hierzu muss nur auf "Konto vergessen?" geklickt werden, eine E-Mail-Adresse oder Telefonnummer eingetragen werden - und schon zeigt Facebook den Namen und das Profilfoto des zur E-Mail-Adresse oder Telefonnummer gehörenden Accounts an - sofern die Daten in einem Konto hinterlegt wurden. Auf die Frage, warum Facebook die Daten anzeige, antwortete ein Facebook-Sprecher ausweichend. Bekannt sei ihm das nicht, das müsse er prüfen. Golem.de hat auch auf weitere Nachfragen keine Antwort erhalten.

E-Mail-Adresse nur ein paar Sternchen entfernt

Über "Konto vergessen?" kann nicht nur ein vergessenes Konto wiedergefunden, sondern auch das Facebook-Passwort zurückgesetzt werden. Das soziale Netzwerk zeigt hierzu die im Konto hinterlegten E-Mail-Adressen oder Telefonnummern an, von denen eine ausgewählt werden kann. Die Zeichen und Ziffern der E-Mail-Adressen beziehungsweise Telefonnummern werden teilweise durch Sternchen ersetzt.

Ein ähnliches Verfahren hat sich auch bei vielen anderen Anbietern von E-Mail-Adressen oder sozialen Netzwerken etabliert. Auch die Freemail-Anbieter Web.de, GMX, Gmail und Telekom (@t-online.de) zeigen nach einem Klick auf "Passwort vergessen" die hinterlegten E-Mail-Adressen und die Telefonnummer mit Sternchen an. Es sei ein Ausgleich zwischen Komfort und Sicherheit, sagt der Telekom-Sprecher Christian Fischer. Entsprechend ist es weder besonders komfortabel noch besonders sicher. Während die Telekom laut Fischer immer wieder mit Kunden zu tun hat, die ihre eigene E-Mail-Adresse hinter den Sternchen nicht mehr erkennen, können Angreifer diese mitunter leicht erraten. In manchen Fällen können sie die Informationen auch bei mehreren Anbietern auslesen und entsprechend kombinieren, was das Erraten noch weiter vereinfacht.

Stellenmarkt
  1. B. Strautmann & Söhne GmbH & Co. KG, Bad Laer
  2. Kassenärztliche Bundesvereinigung, Berlin

Ratespiel: Wie lautet die E-Mail-Adresse, mit der das Passwort zurückgesetzt werden kann?


Telekom: go*em@*****.**
GMX/Web.de: g****@golem.de
Twitter: go***@g****.**
Facebook: g****@g****.de
Google: go***@go***.**

Gelöschte E-Mail-Adressen neu registrieren

Kann die E-Mail-Adresse, mit der sich das Konto zurücksetzen lässt, erraten oder recherchiert werden, kann ein Angreifer versuchen, das Konto zu übernehmen. Am leichtesten hat er es, wenn die hinterlegten Informationen hoffnungslos veraltet sind und das Konto oder die Konten zum Zurücksetzen schon längst nicht mehr existieren, was nicht selten vorkommen dürfte. Wird eine alte E-Mail-Adresse vergessen, ist aber als Zurücksetz-Adresse eingetragen, haben Angreifer leichtes Spiel: Sie können die E-Mail-Adresse einfach neu registrieren - und anschließend das Passwort des anzugreifenden Kontos über sie zurücksetzen. Dazu braucht es keine großen Hacker-Skills, sondern nur eine kurze Recherche und ein paar Klicks.

Die alte Studi-Mail-Adresse oder die des längst gewechselten Arbeitgebers steht neben dem alten Freemail-Account, der schon ganz in Vergessenheit geraten war. Unbenutzte E-Mail-Adressen werden bei Freemailern zum Teil nach gewissen Zeiträumen gelöscht und können neu registriert werden. "Laut den GMX-AGB (und den Web.de-AGB) ist eine Wiedervergabe der Adresse nach einjähriger Inaktivität möglich. In der Praxis ist der Zeitraum deutlich länger und liegt bei zwei Jahren", erklärt GMX-Pressesprecher Martin Wilhelm. Bei anderen Freemailern funktioniert dieser Trick nicht so einfach: Die Telekom lösche keine E-Mail-Adressen - ob sie benutzt werden oder nicht, sagt Fischer.

Außer mit den hinterlegten E-Mail-Adressen lassen sich die E-Mail- und Social-Media-Konten häufig auch per SMS zurücksetzen. Auch hierdurch ergeben sich interessante Angriffsvektoren, für die zum Teil allerdings etwas mehr Know-how nötig ist.

Eine SMS und der Zugriff steht 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. (-15%) 12,74€
  2. 44,99€
  3. 8,99€
  4. 4,99€

Some0NE 07. Mär 2019 / Themenstart

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019 / Themenstart

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019 / Themenstart

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019 / Themenstart

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019 / Themenstart

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)

Kommentieren


Folgen Sie uns
       


Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert

Sailfish OS gibt es als Sailfish X auch für einige Xperia-Smartphones von Sony. Wir haben uns die aktuelle Beta-Version auf dem Xperia XA2 Plus angeschaut.

Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  2. Automatisierung Roboterhotel entlässt Roboter
  3. Cimon Die ISS bekommt einen sensiblen Kommunikationsroboter

P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
P30 Pro im Kameratest
Huawei baut die vielseitigste Smartphone-Kamera

Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
Ein Test von Tobias Költzsch

  1. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
  2. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei
  3. Kritik an Eckpunkten Bitkom warnt vor deutschem Alleingang bei 5G-Sicherheit

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

    •  /