Im Internet ist ein gigantischer Passwort-Leak aufgetaucht, der mehr als 1,16 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern umfasst. Davon kommen 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter nur ein einziges Mal vor, so der australische Sicherheitsforscher Troy Hunt. Insgesamt besteht die Zugangsdatensammlung aus 12.000 Dateien mit einem Datenumfang von mehr als 87 Gigabyte. Die aktuellsten Daten aus dem Leak sollen aus dem Jahr 2015 stammen.
1. Zahlreiche Passwörter offenbar nachträglich entschlüsselt
2. Wenn möglich 2-Faktor-Authentifizierung nutzen
Zahlreiche Passwörter offenbar nachträglich entschlüsselt
Have I Been Pwned? |
---|
Über das Online-Tool "Have I Been Pwned?" können Sie herausfinden, ob Ihre E-Mail-Adresse oder ein von Ihnen verwendetes Passwort schon einmal bei einem Datendiebstahl entwendet wurde. Auch die Daten aus dem "Collection#1"- Leak wurden bereits eingepflegt. Zum Tool gelangen Sie mit einem Klick auf "mehr dazu". |
Da in der „Collection#1“ auch Passwörter im Klartext vorliegen, die von den betroffenen Diensten eigentlich verschlüsselt abgelegt wurden, geht Hunt in seiner Analyse davon aus, dass mehrere Hacker Informationen aus alten Leaks gesammelt, neu zusammengestellt und zusätzlich verschlüsselte Passwörter aus sogenannten „Hashes“ rückgewandelt haben. Diese wurden in mehr als 2.000 Dateien abgelegt, in deren Namen auch ihre potentielle Herkunft auftaucht. So finden sich darunter auch deutschsprachige Domains, beispielsweise von einem Berliner Konzertkartenhändler, einer Hamburger Hochschule und einer Plattform, die Psychotherapeuten vermittelt. Große Webdienste wie WEB.DE oder GMX sollen aber nicht dabei sein. Ob auch Ihre E-Mail-Adresse von diesem oder früheren Datenlecks betroffen ist, können Sie mit „Have I Been Pwned?“ prüfen (siehe Info-Box). In einer Unterfunktion des Dienstes ist es außerdem möglich, zusätzlich auch das eigene Passwort checken zu lassen.
Wenn möglich 2-Faktor-Authentifizierung nutzen
Wenn Ihre E-Mail-Adresse von diesem oder einem früheren Datendiebstahl betroffen ist, sollten Sie unbedingt die Passwörter aller Dienste, die mit dieser Adresse verbunden sind, ändern. Allgemein gilt: Verwenden Sie nie nur ein Passwort für alle Dienste und vermeiden Sie einfach zu knackende Passwörter wie „password“ oder „12345“. Nutzen Sie, sofern angeboten, stets die Möglichkeit einer 2-Faktor-Authentifizierung. Hierbei schützen Sie ein Online-Konto zusätzlich mit einer weiteren Identifizierung auf einem anderen Weg – beispielsweise per SMS oder Code-Abfrage.