Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
News
17. Januar 2019

Passwort-Sammlung mit Millionen Einträgen aufgetaucht

Gratis
Gehackte Passwörter - Was dagegen tun?
Bild: designer491 / iStock / Getty Images
0,00 (0)
Datensicherheit
In einschlägigen Untergrundforen wurde eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern gefunden. Insgesamt sollen sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen Passwörter befinden.

Gemäß verschiedener Medienberichte entdeckte Troy Hunt, Betreiber einer Webseite zum Thema Passwortsicherheit, die Sammlung in einem Forum.

Unter dem Namen „Collection Nr. 1“ bietet sie eine Milliarde Kombinationen aus Passwörtern und E-Mail-Adressen. Die Daten trugen Hacker aus verschiedenen Quellen zusammen. Die Passwörter liegen im Klartext vor.

Wenn das beste Passwort wirkungslos ist

Der Fall ist für Datenschutzbeauftragte interessant, weil sich im Rahmen von Schulungen auf einen häufig verdrängten Sachverhalt hinweisen lässt.

Das beste Passwort ist wirkungslos, wenn der Diensteanbieter beim Betrieb Fehler macht. Dazu gehört das Speichern von Nutzerpasswörtern im Klartext. Sind die Systeme nur unzureichend abgesichert, werden die Daten leichte Beute für Cyberkriminelle.

Die Sammlung zeigt, wie gefährlich es ist, für mehrere Dienste das gleiche Passwort zu verwenden.

Sammlung kann Basis für „Credential Stuffing“ werden

Die Datensammlung ist so strukturiert, dass sie sich für das sogenannte Credential Stuffing nutzen lässt. Bei dieser Art von Angriff übermitteln die Kriminellen an einen Login-Mechanismus automatisiert Kombinationen aus E-Mail-Adressen und Passwörtern.

Ziel ist es, massenweise Konten bei Webdiensten zu übernehmen. Das ist erfolgreich, da Nutzer zu oft dieselben Kombinationen von Mailadressen und Passwörtern bei mehreren Anbietern einsetzen.

Kompromittierte Datensätze finden

Anwender, die in Sorge sind, Opfer eines Passwortdiebstahls geworden zu sein, können sich im Internet selbst informieren, ob ihre Daten in einschlägigen Datenbanken aufgetaucht sind. Die Informationen sagen nur aus, dass eine E-Mail-Adresse einmal Teil einer solchen Datensammlung war. Je nach Dienst wird unter Umständen eine Quelle des Datenlecks verraten.

Das Hasso-Plattner-Institut bietet einen kostenlosen Service zur Überprüfung von Identitätslecks an. Die Nutzer erhalten an die von ihnen eingetragene E-Mail-Adresse Informationen darüber, ob diese schon einmal im Web auftauchte. Nach dem gleichen Prinzip arbeitet die Seite „‚;–have i been pwned?“.

Taucht die eigene Mailadresse hier auf, ist es mehr als ratsam, Passwörter zu ändern. Dabei ist vor allem darauf zu achten, für jeden Dienst und jedes Programm ein separates Passwort zu verwenden.

Stephan Lamprecht
Verfasst von
DP
Stephan Lamprecht

Stephan Lamprecht ist Tech-Autor und Journalist. Er hat sich auf die Fahnen geschrieben, komplizierte Dinge einfach zu erklären.

Seit über 25 Jahren ist er für Verlage, Unternehmen und PR-Agenturen tätig. Er übernimmt Aufgaben als Redakteur, Blogger und Ghostwriter.

Kontakt: https://lamprecht.net

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.