Eins geknackt, für immer gehackt. Passwort gestohlen – und jetzt?

Wurde mein Passwort gestohlen? Benutzen Sie einfach zu merkende Passwörter? Benutzen Sie das gleiche Passwort für verschiedene Portale? Antworten auf diese Fragen sind essentiell für die Sicherheit der digitalen Identität. Wir empfehlen daher regelmäßig zu überprüfen, ob ihre Daten gestohlen worden sind und entsprechend tätig zu werden.

Passwort gestohlen, individualisierte Passwortlisten, große Datenlecks.

Eine Passwortliste ist eine große Textdatei, in der sich viele Passwörter befinden, die von unbekannten Benutzern im Internet verwendet werden. Nicht nur Passwörter, sondern auch E-Mail-Adressen sind interessant für die Hacker, damit ein personalisierter Kontakt hergestellt werden kann.

Anfang des Jahres ist einer der bislang größten Datensätze mit Passwörtern und E-Mail-Adressen durchgesickert. Dabei handelt es sich um ca. 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter. Ein umfangreicher Schatz. Mithilfe solcher Listen bzw. Daten versuchen Hacker Zugriff auf fremde Accounts zu bekommen. Das größte Risiko ist es als Benutzer das gleiche Passwort für mehrere Portale zu benutzen. Denn sobald nur eines dieser Portale gehackt wird ist Ihr Passwort auf der Liste. So wird der Weg für zahlreiche Identitäts- und Betrugsmaschen frei gemacht.

Eins geknackt, für immer gehackt. Ein Passwort gestohlen – und die digitale Identität auch?

Die Passwortliste ist deutlich zum groß, um sie komplett auszuprobieren. Damit ein Hacker es zeitlich schaffen kann das Passwort zu knacken, empfiehlt es sich die Liste anzupassen. Unterschiedliche Herangehensweisen, teilweise aus dem Social Engineering Bereich, werden hierfür genutzt. Vermutungen, dass ein Schalke04-Fan höchstwahrscheinlich nicht Dortmund123 als Passwort benutzen wird, unterstützt den Angreifer bei der Aussortierung & Filterung der Liste. Ein Hacker versucht sein Opfer kennenzulernen.

Wenn die Liste angepasst wurde, probiert er jedes der übrig gebliebenen Passwörter mit möglichen E-Mail-Adressen aus. Wurde Ihr Passwort also schonmal veröffentlicht und hat es einen indirekten Zusammenhang zu Ihnen persönlich, steht dieses Passwort höchstwahrscheinlich auf der Liste des Angreifers.

Wie kann ich mich schützen?

Grundsätzlich raten wir für jedes Portal unterschiedliche Passwörter zu verwende. Ansonsten steigt die Gefahr, dass Ihr Passwort auf einer Plattform gestohlen und so veröffentlicht wird. Es ist zusätzlich ratsam keinen persönlichen Bezug in die Passwörter einfließen zulassen. Auf Merkhilfen wie z.B. Name des Kindes oder des Freundes sollte also verzichtet werden.

Lange Passwörter, für jeden Dienst ein eigenes und das alles ohne Merkhilfen – keine leichte Aufgabe um die eigene digitale Identität zu schützen. Wer jetzt noch langfristig nachhalten will, auf welchen Websites man sich registriert hat und welche Zugänge eventuell gelöscht werden könnten, dem legen wir wärmstens einen Passwort-Manager ans Herz. Ob dieser Off- oder online ist muss jedoch jeder für sich selber entscheiden. Bekannte Anbieter sind u.a.:

Muss ich jetzt alle meine Passwörter ändern?

Nein, nur weil ein großer Datensatz von Passwörtern veröffentlicht wurde heißt es nicht, dass Ihr Passwort dabei war, oder? Um genau diese Frage zu beantworten, betreibt Troy Hunt die Website haveibeenpwnd.com. Dort kann man, neben E-Mail Adressen, auch Passwörter überprüfen. Wir raten jedoch davon ab, aktiv genutzte Passwörter durch die Datenbank zu jagen.




Eine deutsche Alternative wird vom Hasso-Plattner-Institut in Potsdam betrieben. Der Identity Leak Checker gibt erst Informationen preis, sobald man sich als Inhaber der E-Mail Adresse verifizieren konnte. Entscheidend ist jedoch, dass diese Information an die Betroffenen gelangt – ganz gleich ob über HIBP oder den IDL.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar