Was vom Leak übrig blieb: Sind Ihre Passwörter sicher?
Berlin (dpa/tmn) - 16 Milliarden Zugangsdaten von Nutzerkonten bei Apple, Facebook, Google & Co. sollen in die falschen Hände geraten sein. So ist es vielfach im Netz zu lesen. Der Fachdienst «Heise Security» gibt aber Entwarnung: Tatsächlich handele es sich um viele längst bekannte Daten, zudem überlappten sich zahlreiche Datensätze. Die Aufregung sei deplatziert.
Dennoch sollten Internetnutzende natürlich immer ein Auge darauf haben, «ob möglicherweise ungewöhnliche Zugriffe auf von ihnen genutzte Dienste erfolgen und gegebenenfalls bei Verdacht Passwörter ändern», so «Heise Security» weiter. Für besseren Schutz sollte man Mehrfaktorauthentifikation aktivieren oder sogar das passwortlose Anmelden mit Passkeys nutzen.
Regelmäßig Sicherheit der eigenen Passwörter prüfen
Um im Zweifel schneller zu sein als potenzielle Angreifer, lohnt es sich, auch regelmäßig aktiv nachzuschauen, ob vielleicht Passwörter der eigenen Konten und Dienste kompromittiert worden sind.
Im Netz kursierende Log-in-Daten aus Leaks oder Hackerangriffen sammelt etwa der australische Sicherheitsforscher Troy Hunt in einer Datenbank. Nutzerinnen und Nutzer können die Sammlung kostenlos auf der Seite «Have I been pwned?» (sinngemäß: Hat es mich erwischt?) abfragen, um sich genau diese Frage zu beantworten. Dazu muss man nur eine oder mehrere E-Mail-Adressen, die man als Benutzernamen für Konten nutzt, zur Abfrage eingeben.
Zwei kostenlose Abfrage-Angebote stehen bereit
Und auch wenn es Überschneidungen in den Datenbeständen geben wird, lohnt es sich, parallel ein weiteres kostenloses Abfrage-Angebot zu nutzen: den Identity Leak Checker des Hasso-Plattner-Instituts (HPI). Auch der Checker baut auf einer Datenbank auf, die zahllose bloßgestellte Identitätsdaten enthält.
Ergeben die Abfragen auf einer der Seiten Treffer, gilt es, das verbrannte Passwort beim jeweiligen Dienst schnell durch ein neues, sicheres Passwort zu ersetzen.
Ein Passwort für alles ist viel zu riskant
Wichtig: Es muss ein individuelles Passwort für jeden Dienst sein. Dasselbe Passwort für viele oder gar alle Dienste zu verwenden, ist riskant. Denn damit haben Angreifer leichtes Spiel und können viele oder alle Konten im Handstreich übernehmen.
Weil sich niemand Dutzende komplizierte Passwörter merken kann, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von Passwortmanagern. Alternativ dazu kann man auch mit Hilfe eines Passwortmerkblatts sicherer im Netz unterwegs sein - die Methode dahinter erläutert das BSI auf seiner Website.
Passkeys für passwortloses Anmelden
Die Zukunft könnte den sogenannten Passkeys gehören: Sie ermöglichen passwortloses Anmelden über ein kryptografisches Schlüsselpaar.
Passkeys können nicht einfach erbeutet, gestohlen oder erraten werden. Sie können auch nicht vergessen werden oder zu schwach sein, weil sie automatisch generiert werden.
Passkeys oft auch im Passwortmanager speicherbar
Und so funktionieren Passkeys: Der jeweilige Dienst fragt zur Anmeldung einen beim Nutzer gespeicherten Kryptoschlüssel ab. Die Abfrage muss meist noch freigegeben werden - zum Beispiel bequem per Fingerabdruck. Dann erfolgt der Abgleich mit dem Gegenstück des privaten Schlüssels: dem öffentlichen Kryptoschlüssel, der beim jeweiligen Dienst liegt.
Speichern kann man seine Passkeys auf einem Sicherheits-USB-Stick (FIDO2), in einem (mobilen) Betriebssystem wie Android, iOS/MacOS oder Windows oder in einem kompatiblen Passwortmanager, wobei letztere Variante eine universelle und unabhängige Lösung darstellt.
