Es vergeht kaum ein Monat, in dem nicht ein neuer Hack oder Leak bekannt wird, bei dem Diensteanbieter Passwörter von Nutzern „verlieren“. Sicherheitsexperten von Microsoft haben jetzt drei Milliarden entsprechende Nutzerdaten mit den Accounts des Anbieters abgeglichen und 44 Millionen Konten entdeckt, die nur unzureichend geschützt sind. Bei diesen Accounts verwenden Nutzer dasselbe Passwort, dass sie auch bei anderen Diensten verwenden – und die möglicherweise schon in die Hände von Kriminellen gelangt sind. Microsoft will jetzt Zwangsmaßnahmen setzen, um die Konten besser zu sichern.
Dieselben Passwörter bei verschiedenen Diensten
Einer Studie aus dem Jahr 2018 zufolge, bei der 30 Millionen Nutzer und ihr Passwort-Verhalten untersucht wurde, nutzt gut die Hälfte ihre Passwörter mehrfach oder wandelt sie nur leicht ab. Laut der Untersuchung können 30 Prozent der modifizierten und alle wiederverwendeten mit nur zehn Versuchen geknackt werden. Das Verwenden desselben Passworts bei verschiedenen Diensten ermöglicht es Kriminellen, Passwörter aus gehackten oder geleakten Datenbanken einfach erfolgreich bei mehreren Diensten auszuprobieren.
Mit diesen Studienergebnissen erklärt Microsoft die Maßnahmen, die der Konzern jetzt bei den 44 Millionen Nutzer-Accounts vornehmen will. Denn alle laut Microsoft-Definition nicht ausreichend geschützten Konten sollen zu einem Passwort-Reset gezwungen. Private Nutzer könnten daher irgendwann aufgefordert werden, ihr Passwort zu ändern, bevor sie wieder auf ihren Account zugreifen können. Bei Unternehmenskonten soll der Admin kontaktiert werden, um eine Passwortänderung zu forcieren.
Passwortmanager als sichere Lösung
Microsoft empfiehlt Nutzern eine Multi-Factor-Authentication. Damit, so Microsoft, könnten 99,9 Prozent der Attacken abgewehrt werden. Zudem biete Microsoft Lösungen, um Nutzer vor Passwort-Abgleichen zu schützen. Allerdings sollten sich Nutzer, die keine Warnung von Microsoft erhalten haben, nicht zu sicher sein. Denn der Microsoft-Abgleich funktioniert nur, wenn in den geleakten Datenbanken die gleichen Hash-Funktionen wie bei Microsoft eingesetzt werden, wie Winfuture berichtet. Eine Möglichkeit, einfach an verschiedene Passwörter für verschiedene Dienste zu kommen, ist ein Passwortmanager.