Hacker-Beute In dieser Datenbank sollte Ihr Passwort nicht auftauchen

Ein Sicherheitsexperte hat 500 Millionen Kennwörter gesammelt, die bei Datenlecks und Hackerangriffen erbeutet wurden. Alle diese Passwörter gelten als unsicher - und sollten daher auf keinen Fall genutzt werden.

Passwort eingeben
DPA

Passwort eingeben

Von


Wer sein Passwort in dieser Datenbank von Troy Hunt findet, sollte es dringend ändern: Der IT-Sicherheitsexperte führt ein Online-Archiv voller Zugangsdaten, die in den vergangenen Jahren bei einem Hacker-Angriff oder einem Datenleck erbeutet worden sind. Mittlerweile enthält das Archiv eine halbe Milliarde Passwörter.

Diese Kennwörter stehen teils leicht erreichbar im Netz, Computernutzern - und damit prinzipiell auch Kriminellen - fällt es also nicht schwer, sie zu finden. Geht man davon aus, dass heutige Rechner bei einer sogenannten Brute-Force-Attacke schon mal automatisiert eine Milliarde Kennwörter pro Sekunde ausprobieren können, sind die Datenbank-Inhalte im schlimmsten Fall nach kaum einer halben Sekunde abgearbeitet.

Und wenn sein Passwort irgendwo im Netz steht, hilft es dem Nutzer auch wenig, wenn er sichere Passwörter benutzt oder es mit einem Passwort-Manager erstellt hat. Retten kann ihn dann höchstens noch eine aktivierte Zwei-Faktor-Authentifizierung.

Allgemein zeigen die Daten von Troy Hunt, dass einfache Passwörter immer noch sehr beliebt sind. Wer seinen Online-Zugang etwa mit "123456" schützt, geht ein extremes Risiko ein. Mehr als 20 Millionen Mal taucht das Kennwort in Hunts Datenbank auf. Das englische "password" erscheint 3 Millionen Mal, die deutschsprachigen Begriffe "hallo" und "passwort" werden jeweils 60.000 Mal aufgelistet.

Wie man ein sicheres Passwort anlegt, das man sich auch merken kann, erklärt unsere Fotostrecke:

Troy Hunt hat für seine Sammlung unter anderem das Darknet durchforstet. Seine Quellen will der IT-Experte nicht nennen. Er schreibt in einem Blogbeitrag lediglich, dass es sich um eine große Sammlung mit weit mehr Passwörtern als bei der Vorgängerversion handle. Er findet: Sobald ein Passwort auf seiner Liste mit Nutzerdaten auftaucht, sollte es niemand mehr nutzen dürfen.

Sicherheitsexperte fordert Verbot für entblößte Passwörter

Hunts Meinung nach sollten geleakte Passwörter beim Anmelden auf Web-Portalen grundsätzlich verboten werden. Es genüge nicht, die Kennwörter lediglich nach mathematischen Berechnungen auf ihre Sicherheit zu prüfen.

Diese Empfehlung deckt sich zwar mit denen von Sicherheitsbehörden wie dem National Institute of Standards and Technology. Aber da höre die Unterstützung auch schon auf, heißt es, da Online-Konzernen die wichtigste Zutat fehle: die kompromittierten Passwörter.

Fotostrecke

15  Bilder
Von Equifax über LinkedIn bis Yahoo: Das sind die größten Hackerangriffe

Online-Unternehmen bietet Hunt daher an, auf seine Datenbank zuzugreifen oder die Informationen herunterzuladen. Die Passwörter hat der Australier dafür mit der Hashfunktion SHA-1 unkenntlich gemacht. Das sei zwar kein sicherer Algorithmus, um die Kennwörter zu schützen, schreibt Hunt. Das sei aber auch nicht der Sinn. "Es geht einfach darum sicherzustellen, dass die Passwörter nicht gleich als Klartext zu sehen sind."

Ob die eigene E-Mail-Adresse oder das Lieblingspasswort bereits durchs Netz geistert, lässt sich auf der Website "Have I been pwned?" überprüfen: Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text "Oh nein". In einer Liste zeigt sich dann, bei welchen Angriffen und Datenlecks die Zugangsdaten erbeutet worden sind.

Ein grundsätzliches Problem mit Passwörtern besteht darin, dass viele Nutzer ihre Zugangsdaten oft mehrfach verwenden. Denn eigentlich ist es in der Regel nicht so schlimm, wenn Angreifer zum Beispiel plötzlich Zugang auf den sowieso nicht mehr genutzten MySpace-Account haben. Heikel wird es aber dann, wenn sich mit demselben Passwort auch der E-Mail-Account voller privater Daten aufrufen lässt.



insgesamt 34 Beiträge
Alle Kommentare öffnen
Seite 1
rotkaeppchen_online 23.02.2018
1. Sicherstes Passwort der Welt
Laut Analysen von IT-Experten soll Mb2.r5oHf-0t das sicherste Passwort sein. Da ich es nicht in der Liste gefunden habe, kann ich es unbesorgt weiter nutzen. Sehr gut!
Luscinia007 23.02.2018
2.
Sicherheitsexperte??? Ich gebe doch nicht meine Passwörter in einer obskuren Datenbank ein! Wer weiß, was damit dann passiert! Und wer da zuhört, wenn diese Datenpaktet über die 7 Weltmeere hinwegflutschen! Ich würde vielleicht durch eine alphabetische Liste browsen, aber doch nicht ein Passwort irgendwo eingeben!
poormoodys 23.02.2018
3. Hä?
Der link führt zu einer seite in der ich „mein“ passwort eingeben kann um zu überprüfen ob es bekannt ist? Ist das ihr ernst? Puuh glück gehabt, meins ist nicht dabei. -ironie off-
Hamberliner 23.02.2018
4.
Zitat von Luscinia007Sicherheitsexperte??? Ich gebe doch nicht meine Passwörter in einer obskuren Datenbank ein! Wer weiß, was damit dann passiert! Und wer da zuhört, wenn diese Datenpaktet über die 7 Weltmeere hinwegflutschen! Ich würde vielleicht durch eine alphabetische Liste browsen, aber doch nicht ein Passwort irgendwo eingeben!
Dann wird der vertikale Scrollbalken rechts daneben aber dünner als ein Haar und vielleicht dünner als ein Atomkern. Ich gratuliere zu so einer Feinmotorik in der rechten Hand.
Gerdd 23.02.2018
5. Das letzte ...
... was ich nun tun würde, ist es, eine Liste meiner Passwords an den Betreiber einer solchen Datenbank zu übermitteln. Offensichtlich wäre das auch gefährlich, ohne, daß ich noch dazusage, wlche meiner Konten man damit ausräumen kann. Aber wenn er weiter so viel Reklame macht, dann hat er sicher bald einige Milliarden verbrannter Passwörter in seiner Datenbank. Aber das macht ja nichts, wenn man eine Milliarde pro Sekunde ausprobieren kann - wie soll das eigentlich gehen? Vor allen Dingen, wie bekommt man eigentlich so viele Zeichen so schnell in meinen Rechner hinein? Das könnte ich auch für nichtkriminelle Zwecke gut gebrauchen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.