1142213

Wurde Ihr Passwort auch gehackt?

15.11.2017 | 08:44 Uhr |

Immer wieder kursieren Log-in-Daten im Internet. Ob Ihr Log-in dabei ist, prüfen Sie mit dem exklusiven PC-WELT-Tool Passwort Check. Dazu gibt es die besten Tipps für den Notfall.

Log-in-Daten bestehen meist aus Ihrer Mailadresse und einem Passwort. Werden diese gestohlen, sind die dazugehörigen Daten bei diesem Dienst in Gefahr. Besonders gefährlich wird es, wenn Hacker Zugriff auf Ihr Mailpostfach haben. Denn dann können sie sich die Passwörter für fast alle anderen Online-Dienste, über die „Passwort zurücksetzen“-Funktion zusenden lassen. Der ganz große Ärger beginnt dann, wenn Sie für mehrere Log-ins dasselbe Passwort verwenden. Denn dann kann ein Hacker nicht nur in den Online-Dienst einbrechen, zu dem er sich die Log-in-Daten gestohlen hat, sondern auch in alle andere Dienste.

Hintergrund: So einfach kommen Hacker an Ihre Passwörter

Ihre Passwörter gelangen hauptsächlich auf zwei Wegen in die Hände von Hackern: Über schädlichen Code und über erfolgreiche Einbrüche in Online-Datenbanken.

Die kleinere Gefahr geht von Keyloggern aus. Das sind Schädlinge, die sich auf Ihrem PC einnisten und anschließend die Log-in-Daten von sensiblen Diensten, wie Ihrem Mailpostfach oder Ihrem Online-Banking protokollieren und an die kriminellen Hintermänner der Keylogger versenden. Viele dieser Schädlinge können auch in die im Browser gespeicherten Passwörter auslesen.

Warum solche Keylogger die kleinere Gefahr darstellen? Weil Sie sich dagegen sehr gut schützen können. Eine gute Antivirensoftware blockt schon mal ein Großteil der Schädlinge ab. Wenn Sie zudem noch regelmäßig alle verfügbaren Updates für Windows und die installierten Anwendungen einspielen, finden die Keylogger auch kein Einfallstor an den Antivirenprogrammen vorbei.

Die größere Gefahr geht von Hackern aus, die die Dienste angreifen, bei denen Sie ein Konto haben. Die Kriminellen verschaffen sich direkten Zugang zu den Datenbanken der Online-Dienste, etwa von Dropbox oder Yahoo. Dabei gehen den Eindringlingen stets die Mailadressen, also die Benutzernamen ins Netz. Oft können Sie neben vielen anderen persönlichen Daten auch die Passwörter der Nutzer abgreifen. Meist sind diese zwar verschlüsselt, doch in vielen Fällen ist die Verschlüsselung so schwach, dass sich der Code leicht knacken lässt. Und selbst besser verschlüsselte Passworte, lassen sich encodieren, wenn es sich dabei um kurze und simple Passworte wie „test“ oder „123456“ handelt. Fälle von besonders erfolgreichen Diebstählen aus den letzten Jahren waren etwa die folgenden:

34,7 Millionen Kundendaten sollen im Jahr 2011 der Dating Plattform www.eharmony.com gestohlen worden sein. Zum Datensatz zählen auch die Passwörter. Diese sind zwar durch das SHA1-Hash-System geschützt, doch das gilt spätestens seit 2015 als unsicher. Rund 117 Millionen Datensätze gehen dem Netzwerk Linkedin im Jahr 2012 flöten. Das Bittere daran: Linkedin bemerkt das Ausmaß des Diebstahls offiziell erst im Jahr 2016 und forderte auch erst dann seine Nutzer auf, ihre Passwörter zu ändern.

Mit dem Tool PC-WELT Passwort Check prüfen Sie, ob das Passwort bereits gestohlen wurde.
Vergrößern Mit dem Tool PC-WELT Passwort Check prüfen Sie, ob das Passwort bereits gestohlen wurde.

Mehr als 152 Millionen Datensätze wurden dem Softwarespezialisten Adobe gestohlen. Das war im Jahr 2013. Zwar hatte Adobe die Passwörter in den Datensätzen verschlüsselt, allerdings so schlecht, dass sich viele Passwörter entschlüsseln ließen. 145 Millionen Datensätze werden im Jahr 2014 von Ebay-Nutzern gestohlen. Die Passwörter sind verschlüsselt. Doch einfache, also kurze und wenig komplexe Passworte lassen sich auch in diesem Fall rekonstruieren. 500 Millionen Datensätze wurden im Juli 2017 von den Spezialisten des Bundeskriminalamts im Internet entdeckt. Die Daten stammen von verschiedenen Hackerangriffen und wurden in den zurückliegenden Jahren gesammelt.

Diese Liste ist bei Weitem nicht vollständig. Sie soll nur die Größenordnung der Hackerangriffe verdeutlichen.

Tipp: So knacken Sie Ihr vergessenes Passwort

Siehe auch: Die besten Passwort-Manager für PC

Bei diesen Diensten überprüfen Sie ihre Log-in-Daten

Breach Alarm bietet mit „Watchdog“ eine Funktion, bei der Sie Ihre Mailadresse hinterlegen können.
Vergrößern Breach Alarm bietet mit „Watchdog“ eine Funktion, bei der Sie Ihre Mailadresse hinterlegen können.

Hasso-Plattner-Institut: Dieser Dienst bietet unter https://sec.hpi.de/leak-checker/search eine Datenbankabfrage, die auf knapp fünf Milliarden Datensätze zugreifen kann. Die Site ist deutschsprachig. Nach der Eingabe Ihrer Mailadresse und einen Klick auf „E-Mail-Adresse prüfen“ bekommen Sie das Ergebnis der Abfrage per Mail zugesandt.

Auf der Site ist noch ein Blick unter „Statistik“ interessant. Sie erfahren dort unter anderem, was die zehn häufigsten Passwörter sind. Selbstverständlich sollten Sie sich diese nicht als Vorbild nehmen. Die Plätze 1 bis 3 belegen: 123456, 123456789 und 111111.

Have I been Pwned: Die Site https://haveibeenpwned.com kennt ebenfalls knapp fünf Milliarden Log-ins. Die Datenbank steckt auch hinter unserem PC-WELT Tool Passwort Check. Bundesamt für Sicherheit in der Informationstechnik: Auf der Website: https://www.sicherheitstest.bsi.de können Sie anhand Ihrer Mailadresse ebenfalls nach Passwortdiebstählen suchen lassen. Sie erhalten das Ergebnis per Mail, falls der Site ein Diebstahl bekannt ist.

Breach Alarm: Die Datenbank unter https://breachalarm.com kennt rund 700 Millionen Log-in-Daten und damit vergleichsweise wenige. Dennoch lohnt sich der Besuch auf der Site, denn Sie können dort kostenlos Ihre Mailadresse hinterlegen und auf Datendiebstahl überwacht lassen. Sollte diese Adresse zusammen mit Log-in-Daten im Internet auftauchen, werden Sie darüber informiert. Wer mehr als eine Mailadresse überwachen lassen möchte, muss zahlen (ab 10 Dollar pro Jahr). Der Dienst nennt sich Watchdog, Sie finden ihn unter https://breachalarm.com/watchdog .

Is leaked: Auch auf https://isleaked.com kann man seine E-Mail-Adresse schnell überprüfen lassen.

Empfehlenswerte Passwortmanager für ein Plus an Sicherheit

Wer mehr als eine Handvoll Log-in-Daten verwalten muss, kommt um einen Passwortmanager nicht herum. Denn jeder Log-in benötigt unbedingt ein eigenes Passwort. Und jedes dieser Passwörter sollte möglichst lang und möglichst kompliziert sein. Das kann sich aber kaum ein Anwender merken. Hier helfen die Passwortmanager, die in der Regel auch das Ausfüllen der Log-in-Datenfelder in Browsern und Apps übernehmen.

Empfehlenswerte Passwortmanager sind Keepass und Lastpass . Während Lastpass Ihre Daten verschlüsselt im Internet ablegt, behält sie Keepass standardmäßig auf Ihrer Festplatte.

Jeder Passwortmanager schlägt Ihnen komplexe Passworte vor. Wie komplex, das lässt sich einstellen. Sie können etwa festlegen, ob Sonderzeichen dabei seien sollen und ob Großbuchstaben im Passwort vorkommen müssen. Wie komplex ein sicheres Passwort sein sollte, das verrät das Bundesamt für Sicherheit in der Informationstechnik (BSI) . Demnach sollte ein gutes Passwort mindestens acht Zeichen lang sein, je länger desto besser. Für das WLAN sollte das Passwort aber mindestens 20 Zeichen lang sein.

Passworte sollten aus Groß- und Kleinbuchstaben sowie Sonderzeichen wie !, ? oder % und Ziffern bestehen. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter. Diese Daten lassen sich leicht erraten. Entweder durch einen Angreifer, der Sie gezielt ausspioniert oder durch ein Passwortknackprogramm, das häufige Namen systematisch austestet. Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd enthalten.

Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $, !, ?, # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert. Auch das wird von Passwortknackprogrammen routinemäßig getestet.

Übringens: Die jüngste Empfehlung des amerikanischen Standardisierungsinstituts NIST lautet nun besser lange Passwortphrasen zu benutzen. Sie bestehen aus mehreren Worten und sind somit besonders lang. Sonderzeichen seien dagegen nicht mehr so wichtig. Da allerdings die meisten Online-Dienste keine langen Passwortphrasen zulassen, ist diese Empfehlung noch wenig hilfreich.

Tipps: Passwörter unbedingt für mehrere Dienste ändern

Sollte ein Test ergeben haben, dass Ihre Log-in-Daten für einen Dienst gestohlen wurden und Sie fürchten, dass Sie das betreffende Passwort auch für andere Dienste verwendet haben, dann müssen Sie die Passwörter für alle diese Dienste ändern.

Wer bereits einen Passwortmanager nutzt, hat es hier viel leichter. Denn mit dem Tool kann man sich anzeigen lassen, bei welchen Log-ins ein und dasselbe Passwort vorkommt. Einige Passwortmanager helfen sogar beim Wechseln eines Passworts. In Lastpass zum Beispiel können Sie Passwörter für sehr bekannte Dienste wie Facebook oder Amazon per Klick automatisch ändern. Dazu öffnen Sie Ihren Passworttresor. Das geht in der Regel über das Browser- Plug-in von Lastpass und einen Klick auf „Meinen Tresor öffnen“. Suchen Sie sich den betreffenden Log-in heraus und klicken Sie auf das Schraubenschlüsselsymbol. Unterhalb des Passwortfeldes zeigt Lastpass den Link „Automatische Passwortänderung“ an. Fehlt dieser Link, dann kann Lastpass das Kennwort für diesen Dienst nicht automatisch ändern.

Wer noch keinen Passwortmanager nutzt, weiß unter Umständen nicht mehr genau, bei welchen Diensten er das Passwort verwendet hat. Eine gute Unterstützung kann dann die Site http://backgroundchecks.org/justdeleteme/de.html darstellen. Sie dient eigentlich dazu, den eigenen Account bei einem Online-Dienst zu löschen. Dafür listet die Site über 500 Online-Dienste auf und gibt Tipps, wie man den Dienst kündigt. Sie können die Site nutzen, um sich an Dienste zu erinnern, bei denen Sie vielleicht einen Account mit dem gestohlenen Passwort haben.

Das Einschalten der Zweifaktor-Anmeldung lohnt sich immer

Authenticator von Google generiert ein temporäres Zusatzpasswort mit Zweifaktor-Anmeldung.
Vergrößern Authenticator von Google generiert ein temporäres Zusatzpasswort mit Zweifaktor-Anmeldung.

Ob bei Amazon, Google, Facebook oder Dropbox – viele Online-Accounts bieten eine Zwei-Faktor-Authentifizierung und sperren damit Hacker effektiv aus. Denn selbst, wenn ein Hacker Ihr Passwort besitzt, kann er sich nicht in Ihre Dienste einloggen. Dafür ist zwingend ein zweiter Faktor nötig, der sich nicht so einfach stehlen lässt. Der zweite Faktor ist meist ein temporäres Zusatzpasswort, das nur wenige Sekunden gültig ist und für dessen Generierung Sie ein Zusatzgerät benötigen. Meist ist das ein Smartphone, auf das Ihnen der Dienst eine SMS mit dem Zusatzpasswort sendet. Oder das Passwort kommt aus einer App auf Ihrem Smartphone. Beliebt ist etwa die App Authenticator von Google.

Die Zweifaktor-Anmeldung ist wesentlich weniger aufwendig, wie es auf den ersten Blick scheinen mag. Denn bei den meisten Diensten müssen Sie den Zusatzcode nur einmal pro Gerät oder pro verwendeter Software eingeben. Das heißt, wenn Sie den Browser auf Ihrem Computer einmal mit dem Zusatzkennwort freigeschaltet haben, dann müssen Sie das nicht noch einmal erledigen. In diesem Ratgeber erklären wir, wie Sie die Zweifaktoren-Anmeldung für beliebte Dienste einschalten und nutzen, beispielsweise für Amazon, Dropbox, Microsoft (Onedrive, Word.com, Outlook/Hotmail und andere), Facebook und Google (Gmail, Google Drive und andere).

Eine Zweifaktoren-Anmeldung erhöht die Sicherheit Ihrer Online-Konten dramatisch. Das Einschalten lohnt sich auf jeden Fall.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

1142213