![Identitätsdiebstahl ist kein Spaß – und man muss nicht Promi oder Politiker sein, um davon betroffen zu sein. (Bild: Shutterstock) 773 Millionen Zugangsdaten geleakt – sind auch deine Logins betroffen?](https://images.t3n.de/news/wp-content/uploads/2015/09/manuel-blum-passwort-merken.jpg?class=hero)
Identitätsdiebstahl ist kein Spaß – und man muss nicht Promi oder Politiker sein, um davon betroffen zu sein. (Bild: Shutterstock)
Im Internet ist ein gewaltiger Datensatz mit gestohlenen Login-Informationen aufgetaucht. Darin sollen knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen im Klartext lesbare unterschiedliche Passwörter enthalten sein, berichtete der IT-Sicherheitsexperte Troy Hunt in der Nacht zum Donnerstag. Der Datensatz, der unter dem Namen „Collection #1“ im Netz kursierte, bündele Informationen „aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen“, schrieb Hunt in einem Blogeintrag am Donnerstag. Troy Hunt, der als Sicherheitsexperte und Microsoft Regional Director in Australien arbeitet, hat die Datensammlung nach eigenen Angaben über den Cloud-Service Mega erhalten – wo er aber inzwischen nicht mehr verfügbar ist. 87 Gigabyte Daten in 12.000 Einzeldateien sollen es gewesen sein.
Liest man den Blogbeitrag, wird deutlich, dass die Daten eher ungeordnet vorliegen und erst nach und nach der volle Umfang der Sammlung deutlich wird. Denn anhand der Reihenfolge und dem Aufbau der Daten lässt sich in vielen Fällen nachvollziehen, aus welcher Quelle, also, von welchem Service sie stammen. Wann und durch wen der jeweilige Datendiebstahl erfolgte, ist dagegen meist nicht zu rekonstruieren – zumindest nicht ohne Mitwirkung des jeweiligen Unternehmens, von dem sie stammen.
Insgesamt sollen es sogar noch deutlich mehr (genauer: 2,7 Milliarden) Kombinationen aus Passwort und Login-Namen oder E-Mail-Adresse sein, weil die Passwörter in vielen Fällen kontextsensitiv verwendet werden können. Die Datenbank ist offenbar so aufgebaut, dass sie für Credential Stuffing, die Übernahme von Online-Konten genutzt werden kann. Die Zugangsdaten werden in einem solchen Fall geändert, der eigentlich berechtigte Nutzer ausgesperrt.
Datenbank speichert nicht die Passwörter selbst
Der Microsoft-Mitarbeiter betreibt mit HIBP (Have I been pwned?) eine Datenbank, in der du überprüfen solltest, ob deine Log-in-Informationen von Datendiebstählen betroffen sind. Gut zu wissen: HIBP speichert lediglich die verwendete Mailadresse sowie einen Hash, aus dem hervorgeht, dass dazu ein entsprechendes Passwort für einen bestimmten Service verwendet wurde – nicht aber das Passwort selbst. Das hat einerseits juristische Gründe – Hunt würde sich gegebenenfalls sonst strafbar machen – aber auch datenethische.
Das Problem dabei: Wenn du eine E-Mail-Adresse eingibst, siehst du zwar, ob diese auftaucht, oftmals aber nicht, in welchem Portal oder bei welchem Service. Zwar ist zu einigen „Breaches“ die Quelle zu sehen, aus der das Passwort stammt, nicht aber in allen Fällen, worum es sich genau handelt (etwa bei bestimmten Botnetzen, die Passwort-Login-Kombinationen erbeutet haben). In vielen Fällen wirst du also (hoffentlich) lediglich ältere Leaks für deine Mail-Adressen finden – nicht aber aus der aktuellen Collection-#1-Geschichte. Zusätzlich kannst du dich über den Dienst auch benachrichtigen lassen, wenn eine bestimmte Mailadresse in einem solchen Leak auftaucht.
Gerade wer eine oder zwei Standard-E-Mail-Adressen nutzt, findet diese mit relativ hoher Wahrscheinlichkeit. In den vergangenen Jahren hat es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren. Die Passwörter waren dabei aber größtenteils kryptografisch verschlüsselt gewesen.
Überall dieselben Passwörter? Selbst schuld!
Besondern problematisch ist das natürlich für Anwender, die stets für unterschiedliche Portale und Services dieselbe Login-Passwort-Kombination verwenden. Und das ist gar nicht mal so selten. Bereits vor Jahren konnten wir mit einer (deutlich kleineren) Sammlung, die aus einer bestimmten Quelle stammte und sich auch nur auf einen Service bezog, nachweisen, dass eine Vielzahl der Nutzer dasselbe Passwort auch für andere Logins verwendetet.
t3n meint: Wie oft sollen wir es denn noch sagen? Es ist eigentlich relativ einfach, ein Maximum an Sicherheit in Sachen Passwortschutz zu erhalten: Zum einen solltest du für jeden (!) Service ein anderes komplexes Passwort aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen nutzen, zum anderen solltest du es regelmäßig wechseln. Weil das alles eher unkomfortabel ist, empfehlen wir einen seriösen quelloffenen Passwort-Manager, etwa Keepass. Der kann auf Wunsch auch nach Zufallsprinzipien Passwörter erstellen, die du dir ja ohnehin nicht merken musst. Eine weitere Strategie, um die Zugangssicherheit zu erhöhen, ist die Zwei-Faktor-Authentifizierung. Tobias Weidemann
Wieso schreibt ihr in einem Artikel über gestohlene Passwörter, dass kryptische sicherer wären? Diese werden doch genauso entwendet wie einfache, oder sehe ich da falsch?
Übrigens hat Bill Burr, der 2003 die Empfehlung für möglichst kryptische Passwörter herausgab, reumütig zugegeben, dass das unnötig ist und die Sicherheit nicht erhöht. Nur längere Passwörter – besser ganze Sätze – sind sicherer. Also weit mehr als acht Zeichen und für jede Anwendung ein anderes.
Natürlich können auch diese wieder gestohlen werden…