2440715

Ist Ihr Passwort gehackt? So finden Sie es heraus

17.07.2019 | 14:02 Uhr | Arne Arnold & Thorsten Eggeling

Rund 8 Milliarden gestohlene Log-in-Daten kursieren im Internet. Oft inklusive des Passworts und weiterer persönlicher Daten. Ob Ihr Log-in dabei ist, sollten Sie dringend prüfen.

Das Jahr 2019 ist eine ausgesprochen schlechte Zeitspanne, wenn es um die Sicherheit von Passwörtern geht. Bereits im Januar sind rund 773 Millionen gestohlene Log-in-Daten im Internet aufgetaucht. Dieser Collection 1 getaufte Fund enthält neben den Mailadressen ganze 21 Millionen Passwörter und eine nicht genannte Zahl an weiteren persönlichen Daten. Wenige Zeit später tauchten weitere Quellen mit gestohlenen Log-in-Daten auf, die Collection 2 bis 5 getauft wurden. Insgesamt sollen die Collections über 2,2 Milliarden Log-in-Daten enthalten. Zwar stammen einige der Daten aus Jahre alten Passwortdiebstählen, doch sind die enthaltenen Daten dennoch brisant. Sie enthalten neben dem Benutzernamen, meist die Mailadresse, oft auch das Passwort im Klartext oder als Hash-Wert, sowie teilweise die Kreditkartennummern und weitere sensible Daten des betroffenen Nutzers. Wer ein und dasselbe Passwort für mehrere Dienste nutzt, ist von dem Diebstahl des Passworts besonders betroffen. Er hat den Kriminellen gleich Zugang zu mehreren seiner Konten ermöglicht.

Tipp: Die besten Passwort-Manager für Android

So kommen Hacker an Ihre Passwörter 

Ihre Passwörter gelangen hauptsächlich auf zwei Wegen in die Hände von Hackern: über Keylogger und über Einbrüche in Onlinedatenbanken. 

Die kleinere Gefahr geht von Keyloggern aus. Das sind Schädlinge, die sich auf Ihrem PC einnisten und anschließend die Log-in-Daten von sensiblen Diensten, wie Ihrem Mailpostfach oder Ihrem Online-Banking, protokollieren und an die kriminellen Hintermänner der Keylogger versenden. Viele dieser Schädlinge können zudem die im Browser gespeicherten Passwörter auslesen. In der Regel können Sie sich aber mit einem guten Antivirenprogramm vor diesen Schädlinge schützen.

Die größere Gefahr geht von Hackern aus, die die Dienste angreifen, bei denen Sie ein Konto haben. Die Kriminellen verschaffen sich direkten Zugang zu den Datenbanken der Onlinediente, etwa von Adobe, Sony, Dropbox oder Yahoo. Dabei gehen den Eindringlingen stets die Mailadressen, also die Benutzernamen, ins Netz. Oft können sie neben vielen anderen persönlichen Daten auch die Passwörter der Nutzer abgreifen. Meist sind diese zwar verschlüsselt, doch in vielen Fällen ist die Verschlüsselung so schwach, dass sich der Code leicht knacken lässt.

So kommen Leak-Datenbanken an Log-ins 

Mit PC-WELT Passwort-Check prüfen Sie, ob Ihre Mailadresse oder Ihr Passwort gestohlen wurde.
Vergrößern Mit PC-WELT Passwort-Check prüfen Sie, ob Ihre Mailadresse oder Ihr Passwort gestohlen wurde.

Die gestohlenen Log-in-Daten werden von den Dieben oft im Internet angeboten. Bereits vor Jahren kursierten solche Daten in einschlägigen Untergrundforen. Doch lange Zeit hat sich niemand systematisch um diese gestohlenen Daten gekümmert. Das änderte sich erst, als im Jahr 2013 rund 150 Millionen Log-in-Daten von den Servern des Software-Herstellers Adobe gestohlen wurden. Der Australier Tory Hunt, freiberuflicher Sicherheitsspezialist, entdeckte die gestohlenen Log-in-Daten im Internet, erstellet eine Kopie und kam auf die Idee, diese Daten den Betroffenen zu Verfügung zur stellen. Er erstellte die Website https://haveibeenpwned.com („Have I been pwned“ heißt übersetzt etwa „Wurde ich erwischt“). Auf dieser Website kann man seine Mailadresse oder sein Passwort eingeben und prüfen lassen, ob diese im Internet kursieren.

Seit 2013 hat Hunt nun knapp 8 Milliarden Log-in-Daten zusammengetragen. Er war es auch, der Anfang 2019 die Datensammlung Collection 1 gefunden hat. Er stieß auf die Log-in-Daten bei einer Suche mit der Hacker-Suchmaschine Shodan  nach ungesicherten Datenbanken. Auf diese Weise entdeckte er eine ungesicherte Mongo-Datenbank mit Millionen Passwörtern, die einem Hacker gehörte, der sie schlecht gesichert hatte.

Nicht nur Hunt, auch andere Experten stellten in den letzten Jahren Passwort-Leak-Datenbanken ins Netz, damit sich Anwender über ihre Daten informieren können. Mittlerweile sind allerdings nur noch drei große Anbieter übrig. Der Dienst von Tory Hunt, der Service vom Hasso Plattner Institut und die Website https://breachalarm.com . Infos zu den Diensten finden Sie weiter unten.

Exklusiv: Der PC-WELT Passwort-Check prüft Ihre Daten 

In unserem Downloadbereich finden Sie das Tool PC-WELT Passwort-Check . Es prüft, ob Ihre Log-in-Daten bereits in einer Passwort-Leak-Datenbank auftauchen.

Mailadresse: Das Tool ist nach dem Auspacken sofort startklar, ein Doppelklick auf die Datei pcwPasswortCheck.exe genügt. Oben links geben Sie Ihre Mailadresse ein. Sollte einer Ihrer Dienste nicht die Mailadresse, sondern einen Nutzernamen für den Log-in verwenden, können Sie auch diesen eingeben. Da solche Nutzernamen weltweit gesehen aber nicht eindeutig sind, werden Sie auch Meldungen zurückbekommen, die Sie nicht betreffen.

Drücken Sie auf „Prüfung starten“. Nach wenigen Sekunden zeigt das Tool an, ob Ihre Log-in-Daten gestohlen wurden und wenn ja, aus wie vielen Onlinediensten. Angezeigt werden der Name des Onlinedienstes und eine kurze englischsprachige Beschreibung. Darin finden sich meist auch das Jahr und der Monat, in dem der Passwortdiebstahl stattgefunden hat. Am Ende des Textes steht hinter „Kompromittierte Felder“, welche Daten genau bei dem Datendiebstahl in die Hände der Angreifer gelangten und ob diese verschlüsselt waren. So erfahren Sie, ob neben den reinen Log-in-Daten auch Infos wie Telefonnummer, Geburtsdatum oder Postadresse gestohlen wurden. Unser Tool nutzt die Datenbank von https://haveibeenpwned.com .

Passwort-Check: Wenn Sie nicht nur Ihre Mailadresse, sondern auch Ihr Passwort auf Diebstahl checken möchten, müssen Sie keine Angst haben, dass dieses im Klartext ins Internet gesendet wird. Denn von Ihrem Passwort wird nur ein Hashwert, eine Art digitaler Fingerabdruck, gebildet. Von diesem Hashwert werden dann nur die ersten fünf Zeichen an die von uns genutzte Datenbank  übermittelt. Diese liefert alle Passwörter im Hashwert-Format zurück, die mit diesen ersten fünf Zeichen beginnen. Das Programm vergleicht nun lokal den kompletten Hash des Passworts mit dem Ergebnis der Abfrage. Wird es fündig, zeigt das Programm eine Warnung an. Ihr Passwort verlässt also nicht Ihren Rechner. Es werden nur die ersten fünf Zeichen des Passwort-Hashwerts gesendet.

Im Programmfenster sehen Sie alle Hashwerte, die die Datenbank übermittelt hat. Der übereinstimmende Wert ist rot hervorgehoben. Unter Umständen müssen Sie etwas nach unten scrollen. Sie erfahren allerdings nicht, von welchem Diebstahl der Eintrag stammt und zu welchem Dienst das Passwort in der Leak-Datenbank gespeichert ist. Das geschieht als Vorsichtsmaßnahme, um Hackern keine Infos zu Passwörtern zu liefern.

Weitere Dienste: Rechts oben in unserem Tool PC-WELT Passwort-Check finden Sie ein Ausklappmenü, über das Sie weitere Passwort-Datenbanken in einem externen Browser aufrufen können. Es lohnt sich, auch bei diesen anderen Diensten vorbeizuschauen, da sie teilweise über andere Daten verfügen.

123456: Die 25 schlechtesten Passwörter des Jahres 2018  

So testen Sie im Internet auf einen Passwortdiebstahl 

Im Internet gibt es drei wichtige Dienste, die über gestohlene Datensätze verfügen, die sogenannten Passwort-Leak-Datenbanken. Dort können Sie prüfen, ob Ihre Daten bereits gestohlen wurden. Beim Test sind Sie natürlich nicht gezwungen, Ihr Passwort einzugeben, Ihre Mailadresse genügt. Grundsätzlich gehen Sie bei allen Internet-Diensten so vor:

Schritt 1: Geben Sie Ihre Mailadresse in einen der unten genannten Dienste ein.

Schritt 2: Warten Sie das Ergebnis ab. Es wir Ihnen bei einigen Websites umgehend angezeigt. Einige Dienste senden Ihnen das Ergebnis per Mail zu.

Schritt 3: Sind Ihre Daten in der Datenbank gespeichert, dann ändern Sie das Passwort für den gemeldeten Dienst. Sollten Sie dasselbe Passwort auch für andere Dienste eingesetzt haben, dann ändern Sie auch dort Ihr Passwort. Ihre Mailadresse müssen Sie nicht wechseln.

Schritt 4: Erhöhen Sie die Sicherheit Ihrer Konten und aktivieren Sie eine Zwei-Faktor-Anmeldung, falls der Dienst das unterstützt.

Schritt 5: Lassen Sie sich per Mail informieren, wenn Ihre Mailadresse in einem neuen Passwort-Leak im Internet auftaucht. Dafür hinterlegen Sie Ihre Mailadresse auf der Website https://haveibeenpwned.com unter „Notify me“. Sie erhalten umgehend eine Mail mit einem Bestätigungslink, den Sie anklicken müssen. 

Schritt 6: Es lohnt sich für wichtige Dienste, etwa das Mailpostfach, das Passwort routinemäßig alle paar Monate zu ändern. Das lohnt sich auch dann, wenn es keine Treffer in den Leak-Datenbanken oder im PC-WELT Passwort-Check gibt.

Mit diesen Diensten prüfen Sie Ihre Log-in-Daten 

Der Log-in-Checker des Hasso-Plattner-Instituts versendet das Ergebnis seiner Prüfung per Mail.
Vergrößern Der Log-in-Checker des Hasso-Plattner-Instituts versendet das Ergebnis seiner Prüfung per Mail.

Hasso-Plattner-Institut: Dieser Dienst bietet unter https://sec.hpi.de/ilc eine Datenbankabfrage, die auf gut 9 Milliarden Datensätze zugreifen kann. Nach der Eingabe Ihre Mailadresse und dem Klick auf „EMail-Adresse prüfen“ bekommen Sie das Ergebnis der Abfrage per Mail zugesandt. Die Site ist deutschsprachig und wird vom Hasso-Plattner-Institut betrieben. Der Dienst achtet sehr auf den Datenschutz und speichert so wenige Daten wie möglich. Die Mailadresse wird zum Beispiel nur als Hashwert in der Datenbank abgelegt.

Have I been Pwned: Die Site https://haveibeenpwned.com kennt knapp 8 Milliarden Log-ins. Die Seite wird vom australischen Sicherheitsspezialisten Tory Hunt seit 2013 betrieben. Er soll die Daten vertraulich behandeln. Die Datenbank der Site steckt auch hinter unserem PC-WELT Tool Passwort-Check. Es genügt hier also dieses Tool.

Breach Alarm hat zwar deutlich weniger Datensätze als die anderen Dienste gespeichert, ein Test lohnt sich aber oft auch hier, da sich die Datensätze inhaltlich unterscheiden können.
Vergrößern Breach Alarm hat zwar deutlich weniger Datensätze als die anderen Dienste gespeichert, ein Test lohnt sich aber oft auch hier, da sich die Datensätze inhaltlich unterscheiden können.

Breach Alarm: Die Datenbank unter https://breachalarm.com kennt rund 850 Millionen Log-in-Daten und damit vergleichsweise wenige. Dennoch kann sich der Besuch der Site lohnen, da sie möglicherweise über andere Daten als die zuvor genannten Dienste verfügt. Hinter dem Dienst steckt die Technologiefirma Avalanche .

Passwortmanager: Empfehlenswerte Tools 

Wer mehr als eine Handvoll Log-in-Daten verwalten muss, kommt um einen Passwortmanager nicht herum. Denn jeder Log-in benötigt unbedingt ein eigenes Passwort. Und jedes dieser Passwörter sollte möglichst lange und möglichst kompliziert sein. Das kann sich aber kaum ein Anwender merken. Hier helfen die Passwortmanager, die in der Regel auch das Ausfüllen der Logins in Browsern und Apps übernehmen.

Empfehlenswerte Passwortmanager sind Keepass  und Lastpass . Während Lastpass Ihre Daten verschlüsselt im Internet ablegt, behält sie Keepass standardmäßig auf Ihrer Festplatte.

Schutz: Mit einem zweiten Faktor anmelden 

Authenticator von Google generiert ein temporäres Zusatzpasswort mit Zwei-Faktor-Anmeldung.
Vergrößern Authenticator von Google generiert ein temporäres Zusatzpasswort mit Zwei-Faktor-Anmeldung.

Ob bei Amazon, Google, Facebook, Dropbox – viele Online-Accounts bieten eine Zwei-Faktor-Authentifizierung (2FA) und sperren damit Hacker effektiv aus. In diesem Sommer wollen auch GMX und Web.de eine 2FA einführen. Denn selbst, wenn ein Hacker Ihr Passwort besitzt, kann er sich nicht in Ihre Dienste einloggen. Dafür ist zwingend ein zweiter Faktor nötig, der sich nicht so einfach stehlen lässt. Der zweite Faktor ist meist ein temporäres Zusatzpasswort, das nur wenige Sekunden gültig ist und für dessen Generierung Sie ein Zusatzgerät benötigen. Meist ist das ein Smartphone, auf das Ihnen der Dienst eine SMS mit dem Zusatzpasswort sendet. Oder das Passwort kommt aus einer App auf Ihrem Smartphone. Beliebt ist etwa die App Authenticator von Google. In dem Ratgeber  erklären wir, wie Sie die Zwei-Faktor-Anmeldung für beliebte Dienste nutzen. 

Fragen und Antworten zu Leak-Datenbanken

Frage: Eine Leak-Datenbank meldet meine Mailadresse als betroffen. Muss ich diese nun wechseln? 

Antwort: Nein. Es genügt, wenn Sie für sämtliche Benutzerkonten, die diese Mailadresse verwenden, das Kennwort ändern. Wenn Sie wissen, welches Passwort betroffen ist, müssen Sie nur Benutzerkonten mit diesem Passwort ändern.

Frage: Zu meiner Mailadresse wurde das Kennwort gestohlen. Betrifft das nur das Kennwort meines Mailaccounts? 

Antwort: Nein, es kann sich bei der Warnung um das Kennwort eines beliebigen Benutzerkontos handeln, bei dem Sie Ihre E-Mail-Adresse zur Identifikation angegeben haben. Das kann das Kennwort Ihres Mailkontos oder das eines beliebigen Internetdienstes sein. Einige Leak-Datenbanken geben das betroffene Benutzerkonto an, andere nicht.

Frage: Ich habe nach einem Leak mein Kennwort bereits geändert. Warum taucht meine Adresse bei nochmaliger Anfrage immer noch in der Leak-Datenbank auf? 

Antwort: Die Datenbanken mit gestohlenen Log-in-Daten geben lediglich Auskunft dazu, ob Ihr Kennwort in einem Leak gefunden wurde. Sie sagen nichts darüber aus, ob dieses Kennwort für das betroffene Benutzerkonto noch funktioniert. Da Ihr vorheriges Kennwort weiterhin im Internet kursiert, geben die Datenbanken weiterhin eine Warnung aus.

Frage: Soll ich auch mein Passwort auf der Website einer Passwort-Leak-Datenbank eingeben? 

Antwort: Davon raten wir eher ab. Denn erstens kann ein Passwort von mehreren Nutzern verwendet werden. Meldet die Datenbank das Passwort als geleakt, können Sie also nicht sicher sein, dass damit Ihres gemeint ist. Zweitens sollte man Kennwörter nach Möglichkeit nicht außerhalb ihrer Log-ins eingeben. Empfehlen können wir nur den Test mit unserem Tool PC-WELT Passwort-Check. Dieses überträgt nur einen Hashwert ins Internet und auch davon nur einen Teil.

0 Kommentare zu diesem Artikel
2440715