Was, wenn wirklich 1,2 Milliarden Passwörter gestohlen wurden?

6 Aug 2014

Die New York Times und andere Medien veröffentlichten einen Artikel über eine kriminelle Bande, die über eine Milliarde Passwörter sowie Nutzernamen/E-Mails von verschiedenen Webseiten gestohlenhaben soll. Hört sich so an, als wäre das der größte Diebstahl der Internet-Geschichte, allerdings werden keine genaueren Angaben zu den Details gemacht – und das machte die Security-Experten ein wenig skeptisch. So wurde zum Beispiel nicht gesagt, welche Webseiten angegriffen worden waren. Auch technische Details sind nicht bekannt – so würden die Sicherheits-Experten gerne wissen, ob die Passwörter hashedwaren oder nicht. Normale Anwender interessiert allerdings vor allem eines: Müssen sie etwas unternehmen, und wenn ja, was.

Große Internetanbieter haben bisher keine Passwort-Änderungs-Mails an die Anwender geschickt, was zeigen könnte, dass sie von dem vermuteten Diebstahl nicht betroffen waren oder keine negativen Konsequenzen für die Anwender befürchten. Allerdings behauptet Hold Security, die Firma, die die Forschungsarbeit zu dem Einbruch veröffentlicht hat, dass viele kleine Webseiten davon betroffen waren. Solche Seiten haben oft keine strengen Sicherheitsprozeduren und die Anwender können nicht erwarten, über Datendiebstähle informiert zu werden.

Sie können den Schaden begrenzen, indem Sie einzigartige Passwörter für jedes Konto verwenden.

Deshalb ist der angebliche Passwortdiebstahl eine gute Gelegenheit für Sie, sich auf sicherere, systematisch gewählte Passwörter umzustellen. „Als Kunde haben Sie keine wirkliche Kontrolle darüber, ob Datendiebstähle bei einem von Ihnen genutzten Online-Anbieter passieren, aber Sie können den Schaden begrenzen, indem Sie ein einzigartiges Passwort für jedes Konto verwenden“, erklärt David Emm, Senior Security Researcher bei Kaspersky Lab.

Das ist der wichtigste Punkt der Passwortsicherheit. Jedes Passwort könnte von Ihrem Computer (zum Beispiel durch einen Keylogger) oder von einem Online-Anbieter gestohlen werden. Stellen Sie deshalb sicher, dass dieses Passwort nicht auch noch die Türen zu anderen wichtigen Konten öffnen kann. Und da es schwer ist, sich die ganzen langen Passwörter zu merken, empfehlen wir die Nutzung von Passwort-Managern. Doch Passwörter sollten nicht nur einzigartig, sondern auch stark sein (Sie können Ihr Passwort mit unserem kostenlosen Password-Checker prüfen).

Für wichtige Konten (zum Beispiel das Online-Banking oder Gmail) empfehlen wir zusätzlichen Schutz. Solche Seiten bieten meist eine Zwei-Faktoren-Authentifizierung, so dass ein gestohlenes Passwort den Dieben nichts nützt.