LeakedIn Vorsicht vor den Passwort-Prüfern

Wenn wieder einmal massenhaft geheime Zugangsdaten in die Öffentlichkeit geraten, möchten viele Nutzer wissen, ob sie selbst zu den Opfern gehören. Doch diese Neugier ist gefährlich.
Passwortklau (Symbolbild): Statt es prüfen zu lassen, das Passwort besser ändern

Passwortklau (Symbolbild): Statt es prüfen zu lassen, das Passwort besser ändern

Foto: Corbis

Kaum war bekannt, dass Hacker Millionen von Zugangsdaten des Business-Netzwerks LinkedIn und der Dating-Seite eHarmony entwendet haben, war auch schon die erste Website im Netz, auf der man angeblich prüfen kann, ob das eigene Passwort dabei war.

Besorgte LinkedIn-Kunden sollen auf LeakedIn.org ihr Passwort im Klartext eingeben. Die Website berechnet daraus den so genannten Hash-Wert, eine verschlüsselte Form des Passworts, und gleicht sie mit den geleakten Hashes ab. Bei einem Treffer warnt LeakedIn: "Ihr Passwort ist geleakt und geknackt", ansonsten: "Sieht so aus, als ob Ihr Passwort nicht geleakt ist."

LeakedIn.org ist von vertrauenswürdigen Menschen entwickelt und ins Netz gestellt worden. Sie treten mit Klarnamen auf und erklären, was sie tun . Trotzdem sollte man ihre und vergleichbare Dienste nicht nutzen.

Wer einer fremden Website sein Passwort anvertraut, geht grundsätzlich ein Risiko ein - und gefährdet sich doppelt. Zum einen, weil nicht klar ist, was mit dem Passwort geschieht. Vielleicht wird es gespeichert, an Dritte übermittelt, ausgewertet oder gar gegen den Nutzer verwendet. Vielleicht wird das gut gemeinte, über Nacht zusammengeschusterte Webprojekt von Hackern infiltriert und damit zur Passwort-Falle.

Zum anderen aber vermittelt ein positives Prüfergebnis ein falsches Gefühl von Sicherheit. Denn egal, was das Ergebnis des Web-Checks ist: Jeder LinkedIn-Kunde ist gefährdet und sollte sich mit Bekanntwerden des Leaks als "gehackt" ansehen. Zwar wurden 6,5 Millionen Passwort-Hashes veröffentlicht und zum gemeinschaftlichen Knacken zur Verfügung gestellt. Doch es ist völlig unklar, wie viele tatsächlich erbeutet wurden. Bei LinkedIn sind angeblich rund 160 Millionen Menschen angemeldet. Zumal gilt: Wenn erst einmal Passwörter erfolgreich geklaut wurden, steigt die Wahrscheinlichkeit, dass dies anderen, verschwiegeneren Angreifern auch schon in der Vergangenheit gelang.

Löschen statt checken

Das einzig Richtige, was man nach Bekanntwerden des LinkedIn-Leaks machen kann: umgehend sein Passwort ändern. Und zwar auch in allen anderen Webdiensten, bei denen man das gleiche oder ein ähnliches Passwort verwendet. Einmal geleakt, ist ein Passwort wertlos für den Nutzer - und wertvoll für einen Angreifer.

Doch der LinkedIn-Vorfall zeigt auch, dass mehr Vorsicht im Umgang mit Passwörtern angesagt ist. Ausgeklügelte, lange Passwörter waren bei LinkedIn ähnlich gefährdet wie triviale Passwörter der Machart "123456" - weil LinkedIn einen angemessenen Schutz erst viel zu spät installierte, nämlich das sogenannte Salzen von Hashes mit einem Zufallswert. Und selbst nach der Installation dieser Sicherheitsmaßnahme ist man vor einem zielgerichteten Angriff nicht sicher. Was LinkedIn-Nutzern geholfen hätte, wäre ein regelmäßiges Ändern des Passworts, um dessen Gültigkeitsdauer, einmal in Hacker-Hand, möglichst kurz zu halten.

Doch man muss LeakedIn noch einen anderen Vorwurf machen - und der gilt auch für alle anderen gut gemeinten Angebote dieser Art, zum Beispiel "Should I change my password?" oder den LinkedIn-Checker des Passwort-Dienstleisters LastPass:

Wer Nutzer dazu aufruft, Passwörter auf einer Website einzugeben, die nichts mit dem eigentlichen Verwendungszweck des Passworts zu tun hat, wirkt einer notwendigen Vorsicht im Umgang mit Passwörtern entgegen und steigert damit die Bedrohung. Die Regel sollte immer sein: Passwörter müssen so geheim gehalten werden, wie es geht. Sie sollten so selten wie möglich und an so wenigen Orten wie nötig eingegeben werden. Jede Passwort-Eingabe ist ein Risiko: Weil eine Website unsicher, weil ein Webdienst gehackt oder ein Schnüffel-Trojaner bei der Tastatureingabe dabei sein könnte.

Diese Kritik an Leak-Checkern ist nicht neu. Am treffendsten übt sie The Password Security Checker . Wer hier ein Passwort eingibt - und sei es theoretisch noch so sicher - bekommt immer die gleiche Antwort: "Unsicher." Als Begründung führt die Seite an, dass man gerade sein Passwort einem "unbekannten Dritten (uns)" mitgeteilt habe, man also nicht wisse, was mit dem Passwort geschieht. Nebenbei habe man noch den Betreibern das volle Verwendungsrecht an dem Passwort übertragen, wie es in den schwer zu lesenden Nutzungsbedingungen geschrieben steht. Das Ganze ist ein Scherz, der weh tun soll. Als Ratschlag gibt der Passwort Security Checker den Nutzern mit: Sollte das gerade geprüfte oder irgendein anderes Passwort, das von einem anderen Dienst geprüft wurde, in Benutzung sein: Löschen Sie es sofort, und wählen Sie ein anderes.

Das ist keine Paranoia und auch nicht übertrieben. Es gibt viele Tipps, wie man ein sicheres Passwort entwirft und benutzt. Doch sie nützen alle nichts, wenn nicht einmal ein 160-Millionen-Mitglieder-Dienst wie LinkedIn Passwörter sicher speichern konnte.

Die Wiedergabe wurde unterbrochen.