Riesiger Datensatz: 1,3 Milliarden Passwörter geleakt: Ist eins von Ihnen dabei?

Berlin - Die bekannte Abfrageseite für geleakte Log-in-Daten „Haveibeenpwned.com“ hat ihre Datenbank um einen riesigen Datensatz erweitert. Es handelt sich um 1,3 Milliarden neue Passwörter und 2 Milliarden E-Mail-Adressen, die das IT-Sicherheitsunternehmen Synthient frei zugänglich im Netz gefunden hat.

Bei den Passwörtern handelt es sich vor allem um solche, die entgegen aller Sicherheitsgebote für zwei oder mehr Log-ins genutzt werden. Passwörter sollten für jeden Einsatzzweck einzigartig sein.

Um zu erfahren, ob sie vom aktuellen oder anderen Leaks betroffen sind, können Nutzerinnen und Nutzer auf „Haveibeenpwned.com“ einfach und kostenlos ihre E-Mail-Adresse angeben und bekommen dann direkt angezeigt, ob zu der eingegebenen E-Mail-Adresse kompromittierte Passwörter gefunden worden sind oder nicht.

„Have I been pwned?“ (HIBP) bedeutet sinngemäß: „Hat es mich erwischt?“. Und um diese Frage wirklich beantworten zu können, lohnt sich ein regelmäßiger Besuch zur Abfrage der eigenen E-Mail-Adressen. Denn der HIBP-Betreiber Troy Hunt, ein australischer IT-Sicherheitsforscher, fügt der Datenbank ständig neue Datensätze hinzu, die nach Leaks oder Hacks im Netz auftauchen.

Auch wenn es Überschneidungen in den Datenbeständen geben wird, ist es empfehlenswert, parallel ein weiteres kostenloses Abfrage-Angebot zu nutzen: den Identity Leak Checker des Hasso-Plattner-Instituts (HPI). Auch der Checker baut auf einer Datenbank auf, die zahllose geleakte Identitätsdaten enthält.

Ergeben die Abfragen auf einer der Seiten Treffer, gilt es, das somit „verbrannte“ Passwort beim jeweiligen Dienst schnell durch ein neues, sicheres Passwort zu ersetzen.

Wichtig: Es muss ein individuelles Passwort für jeden Dienst sein. Dasselbe Passwort für viele oder gar alle Dienste zu verwenden, ist riskant. Denn damit haben Angreifer leichtes Spiel und können viele oder alle Konten im Handstreich übernehmen.

Weil sich niemand Dutzende komplizierte Passwörter merken kann, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von Passwortmanagern. Alternativ dazu kann man auch mit Hilfe eines Passwortmerkblatts sicherer im Netz unterwegs sein - die Methode dahinter erläutert das BSI auf seiner Website.

Zudem sollte man bei Online-Diensten die Zwei-Faktor-Authentisierung (2FA) aktivieren, wo immer sie verfügbar ist. Denn dank eines zweiten Codes, der beim Log-in abgefragt wird, kommen Angreifer selbst dann nicht ins jeweilige Konto, wenn sie das Passwort erbeutet haben sollten.

Grundsätzlich können Nutzerinnen und Nutzer auch schon mit dem Umstieg auf den Passwort-Nachfolger Passkeys beginnen. Passkeys ermöglichen passwortloses Anmelden über ein kryptografisches Schlüsselpaar.

Der jeweilige Dienst fragt zur Anmeldung einen beim Nutzer gespeicherten Kryptoschlüssel ab. Die Abfrage muss dann nur noch freigegeben werden - etwa bequem per Fingerabdruck oder PIN. Dann erfolgt der Abgleich mit dem Gegenstück des privaten Schlüssels, dem öffentlichen Kryptoschlüssel, der beim jeweiligen Dienst liegt - und schon ist man eingeloggt.

Speichern kann man seine Passkeys auf einem Sicherheits-USB-Stick (FIDO2), in einem (mobilen) Betriebssystem wie Android, iOS/MacOS oder Windows sowie in kompatiblen Passwortmanagern. Eignet sich der bislang genutzte Manager auch für Passkeys, können die bereits gespeicherten Passwörter problemlos und parallel zu Passkeys weitergenutzt werden.