- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Passwort-Sammlung mit Millionen Einträgen aufgetaucht

In einschlägigen Untergrundforen wurde eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern gefunden. Insgesamt sollen sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen Passwörter befinden.

Gemäß verschiedener Medienberichte [1] entdeckte Troy Hunt, Betreiber einer Webseite zum Thema Passwortsicherheit [2], die Sammlung in einem Forum.

Unter dem Namen „Collection Nr. 1“ bietet sie eine Milliarde Kombinationen aus Passwörtern und E-Mail-Adressen. Die Daten trugen Hacker aus verschiedenen Quellen zusammen. Die Passwörter liegen im Klartext vor.

Wenn das beste Passwort wirkungslos ist

Der Fall ist für Datenschutzbeauftragte [3] interessant, weil sich im Rahmen von Schulungen [4] auf einen häufig verdrängten Sachverhalt hinweisen lässt.

Das beste Passwort ist wirkungslos, wenn der Diensteanbieter beim Betrieb Fehler macht. Dazu gehört das Speichern von Nutzerpasswörtern im Klartext. Sind die Systeme nur unzureichend abgesichert, werden die Daten leichte Beute für Cyberkriminelle.

Die Sammlung zeigt, wie gefährlich es ist, für mehrere Dienste das gleiche Passwort zu verwenden.

Sammlung kann Basis für „Credential Stuffing“ werden

Die Datensammlung ist so strukturiert, dass sie sich für das sogenannte Credential Stuffing nutzen lässt. Bei dieser Art von Angriff übermitteln die Kriminellen an einen Login-Mechanismus automatisiert Kombinationen aus E-Mail-Adressen und Passwörtern.

Ziel ist es, massenweise Konten [5] bei Webdiensten zu übernehmen. Das ist erfolgreich, da Nutzer zu oft dieselben Kombinationen von Mailadressen und Passwörtern bei mehreren Anbietern einsetzen.

Kompromittierte Datensätze finden

Anwender, die in Sorge sind, Opfer eines Passwortdiebstahls geworden zu sein, können sich im Internet selbst informieren, ob ihre Daten in einschlägigen Datenbanken aufgetaucht sind. Die Informationen sagen nur aus, dass eine E-Mail-Adresse einmal Teil einer solchen Datensammlung war. Je nach Dienst wird unter Umständen eine Quelle des Datenlecks [6] verraten.

Das Hasso-Plattner-Institut bietet einen kostenlosen Service zur Überprüfung von Identitätslecks [7] an. Die Nutzer erhalten an die von ihnen eingetragene E-Mail-Adresse Informationen darüber, ob diese schon einmal im Web auftauchte. Nach dem gleichen Prinzip arbeitet die Seite „‚;–have i been pwned? [8]“.

Taucht die eigene Mailadresse hier auf, ist es mehr als ratsam, Passwörter zu ändern. Dabei ist vor allem darauf zu achten, für jeden Dienst und jedes Programm ein separates Passwort zu verwenden.

Stephan Lamprecht