Abo
  • IT-Karriere:

Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.

Eine Analyse von veröffentlicht am
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten.
Eine schlecht kontrollierte Kontoübergabe: Über die Passwort-vergessen-Funktion können auch Kriminelle Zugriff erhalten. (Bild: rawpixel/Unsplash)

Hat ein Nutzer das Passwort vergessen, mag es sehr komfortabel sein, die Telefonnummer oder E-Mail-Adresse auszuwählen, über die das Passwort zurückgesetzt werden kann. In diesem Fall sind Nutzer auch der Hotline dankbar, wenn diese unkompliziert und schnell wieder einen Zugriff auf das E-Mail- oder Social-Media-Konto ermöglicht. Doch die Einfachheit hat ihren Preis: Für Angreifer ist es auch nicht besonders kompliziert, die Konten zu übernehmen - oder Informationen über die Konteneigentümer zu sammeln. Dafür stehen den Angreifern verschiedene Wege offen: Sie können die hinterlegten E-Mail-Adressen kapern, SMS abfangen, Sicherheitsfragen recherchieren oder der Hotline des Social-Media- oder E-Mail-Anbieters eine gute Geschichte erzählen.

Inhalt:
  1. Sicherheit: Wie sich "Passwort zurücksetzen" missbrauchen lässt
  2. Eine SMS und der Zugriff steht
  3. Über die Hotline zum E-Mail-Konto

Das Beispiel Facebook zeigt, wie leicht Angreifer mit nichts als einem scharfen Verstand über die Passwort-zurücksetzen-Funktion an persönliche Daten von Nutzern gelangen können. Wie die meisten Freemail- oder Social-Media-Dienste bietet das soziale Netzwerk die Funktion zum Erneuern des Passwortes prominent unter den Login-Feldern an. Damit lässt sich überprüfen, ob eine E-Mail-Adresse oder eine Telefonnummer bei einem Facebook-Account hinterlegt wurde. Hierzu muss nur auf "Konto vergessen?" geklickt werden, eine E-Mail-Adresse oder Telefonnummer eingetragen werden - und schon zeigt Facebook den Namen und das Profilfoto des zur E-Mail-Adresse oder Telefonnummer gehörenden Accounts an - sofern die Daten in einem Konto hinterlegt wurden. Auf die Frage, warum Facebook die Daten anzeige, antwortete ein Facebook-Sprecher ausweichend. Bekannt sei ihm das nicht, das müsse er prüfen. Golem.de hat auch auf weitere Nachfragen keine Antwort erhalten.

E-Mail-Adresse nur ein paar Sternchen entfernt

Über "Konto vergessen?" kann nicht nur ein vergessenes Konto wiedergefunden, sondern auch das Facebook-Passwort zurückgesetzt werden. Das soziale Netzwerk zeigt hierzu die im Konto hinterlegten E-Mail-Adressen oder Telefonnummern an, von denen eine ausgewählt werden kann. Die Zeichen und Ziffern der E-Mail-Adressen beziehungsweise Telefonnummern werden teilweise durch Sternchen ersetzt.

Ein ähnliches Verfahren hat sich auch bei vielen anderen Anbietern von E-Mail-Adressen oder sozialen Netzwerken etabliert. Auch die Freemail-Anbieter Web.de, GMX, Gmail und Telekom (@t-online.de) zeigen nach einem Klick auf "Passwort vergessen" die hinterlegten E-Mail-Adressen und die Telefonnummer mit Sternchen an. Es sei ein Ausgleich zwischen Komfort und Sicherheit, sagt der Telekom-Sprecher Christian Fischer. Entsprechend ist es weder besonders komfortabel noch besonders sicher. Während die Telekom laut Fischer immer wieder mit Kunden zu tun hat, die ihre eigene E-Mail-Adresse hinter den Sternchen nicht mehr erkennen, können Angreifer diese mitunter leicht erraten. In manchen Fällen können sie die Informationen auch bei mehreren Anbietern auslesen und entsprechend kombinieren, was das Erraten noch weiter vereinfacht.

Stellenmarkt
  1. Ecologic Institut gemeinnützige GmbH, Berlin
  2. NOVENTI Health SE, Mannheim

Ratespiel: Wie lautet die E-Mail-Adresse, mit der das Passwort zurückgesetzt werden kann?


Telekom: go*em@*****.**
GMX/Web.de: g****@golem.de
Twitter: go***@g****.**
Facebook: g****@g****.de
Google: go***@go***.**

Gelöschte E-Mail-Adressen neu registrieren

Kann die E-Mail-Adresse, mit der sich das Konto zurücksetzen lässt, erraten oder recherchiert werden, kann ein Angreifer versuchen, das Konto zu übernehmen. Am leichtesten hat er es, wenn die hinterlegten Informationen hoffnungslos veraltet sind und das Konto oder die Konten zum Zurücksetzen schon längst nicht mehr existieren, was nicht selten vorkommen dürfte. Wird eine alte E-Mail-Adresse vergessen, ist aber als Zurücksetz-Adresse eingetragen, haben Angreifer leichtes Spiel: Sie können die E-Mail-Adresse einfach neu registrieren - und anschließend das Passwort des anzugreifenden Kontos über sie zurücksetzen. Dazu braucht es keine großen Hacker-Skills, sondern nur eine kurze Recherche und ein paar Klicks.

Die alte Studi-Mail-Adresse oder die des längst gewechselten Arbeitgebers steht neben dem alten Freemail-Account, der schon ganz in Vergessenheit geraten war. Unbenutzte E-Mail-Adressen werden bei Freemailern zum Teil nach gewissen Zeiträumen gelöscht und können neu registriert werden. "Laut den GMX-AGB (und den Web.de-AGB) ist eine Wiedervergabe der Adresse nach einjähriger Inaktivität möglich. In der Praxis ist der Zeitraum deutlich länger und liegt bei zwei Jahren", erklärt GMX-Pressesprecher Martin Wilhelm. Bei anderen Freemailern funktioniert dieser Trick nicht so einfach: Die Telekom lösche keine E-Mail-Adressen - ob sie benutzt werden oder nicht, sagt Fischer.

Außer mit den hinterlegten E-Mail-Adressen lassen sich die E-Mail- und Social-Media-Konten häufig auch per SMS zurücksetzen. Auch hierdurch ergeben sich interessante Angriffsvektoren, für die zum Teil allerdings etwas mehr Know-how nötig ist.

Eine SMS und der Zugriff steht 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. (-15%) 16,99€
  2. 16,99€
  3. 16,49€
  4. 64,99€ (Release am 25. Oktober)

Some0NE 07. Mär 2019

Facebook hat die Lösung schon seit irgendwann 2012: https://www.facebook.com/notes...

FreiGeistler 02. Mär 2019

Es bezeichnet die Generation, die mit Breitbandinternet, Cloud und Asocial Media...

IchBIN 27. Feb 2019

Ich würde mal spekulieren: Wenn sie den Nutzer durch entsprechend im Browser gesetzte und...

itnewsprofi 26. Feb 2019

... hier mal eine ordentliche Regelung zu finden, da wir schon gezwungen werden, uns...

plutoniumsulfat 26. Feb 2019

Und viele machen es einem schwer, schwierige Passwörter zu vergeben ;)


Folgen Sie uns
       


Tolino Vision 5 HD und Epos 2 im Hands On

Tolino zeigt mit Vision 5 HD und Epos 2 zwei neue Oberklasse-E-Book-Reader. Der Epos 2 kann durch ein besonders dünnes Display begeistern.

Tolino Vision 5 HD und Epos 2 im Hands On Video aufrufen
Indiegames-Rundschau: Killer trifft Gans
Indiegames-Rundschau
Killer trifft Gans

John Wick Hex ist ein gelungenes Spiel zum Film, die böse Gans sorgt in Untitled Goose Game für Begeisterung und in Noita wird jeder Pixel simuliert: Die Indiegames des Monats sind abwechslungsreich und hochwertig wie selten zuvor.
Von Rainer Sigl

  1. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  2. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten
  3. Indiegames-Rundschau Von Bananen und Astronauten

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Pixel 4 XL im Test: Da geht noch mehr
Pixel 4 XL im Test
Da geht noch mehr

Mit dem Pixel 4 XL adaptiert Google als einer der letzten Hersteller eine Dualkamera, die Bilder des neuen Smartphones profitieren weiterhin auch von guten Algorithmen. Aushängeschild des neuen Pixel-Gerätes bleibt generell die Software, Googles Hardware-Entscheidungen finden wir zum Teil aber nicht sinnvoll.
Ein Test von Tobias Költzsch

  1. Pixel 4 Google will Gesichtsentsperrung sicher machen
  2. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  3. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein

    •  /