Mit Datenbankchecks: Verbrannten Passwörtern auf der Spur

28.01.2021
Im Netz werden zahllose E-Mail-Adressen und Passwörter gehandelt, die aus Datenlecks stammen oder bei Angriffen erbeutet worden sind. Ob eigene Zugangsdaten dabei sind, sollte man unbedingt wissen.
Schlüssel dürfen nicht in fremde Hände geraten: Wer erfährt, dass eines seiner Passwörter kompromittiert ist, sollte schnellstens handeln. Foto: Patrick Pleul/dpa-Zentralbild/dpa-tmn
Schlüssel dürfen nicht in fremde Hände geraten: Wer erfährt, dass eines seiner Passwörter kompromittiert ist, sollte schnellstens handeln. Foto: Patrick Pleul/dpa-Zentralbild/dpa-tmn

Bonn (dpa/tmn) - «Zutritt für Unbefugte verboten»: Wenn sich Hacker doch einfach daran halten würden. Tun sie aber nicht. Fallen ihnen Zugangsdaten für Internetdienste in die Hände, setzten sie diese auch ein oder verkaufen sie - oft zum Nachteil der Opfer.

Betroffene eines Identitätsdiebstahls müssen oft etwa auf einmal für Bestellungen gerade stehen, die Unbekannte in ihrem Namen aufgegeben haben. Der Schaden ist aber längst nicht immer nur finanzieller Natur. Wenn Fremde Zugang zu privaten Daten oder Fotos haben, die bei einem Onlinespeicherdienst liegen, kann das extrem belastend sein.

Um im Fall der Fälle nicht so eiskalt erwischt zu werden, sollten Nutzerinnen und Nutzer regelmäßig prüfen, ob nicht vielleicht schon Log-in-Daten für einen oder mehrere ihrer Accounts durchs Netz geistern. Das ist mit der einfachen Abfrage von Datenbanken möglich, in die Sicherheitsforscher nach Hackerangriffen oder Datenlecks kompromittierte Zugangsdaten einpflegen.

Neuer «Leak Checker»

Ein ganz neues Angebot ist etwa der « Leak Checker» der Universität Bonn. Wie bei den Leak-Datenbanken üblich, gibt man die E-Mail-Adresse oder die E-Mail-Adressen, die man als Benutzername für Internetkonten- und -dienste nutzt, auf der jeweiligen Internetseite ein. Postwendend kommt dann per Mail die Benachrichtigung, ob und welche Accounts von einem Passwortklau betroffen sind - inklusive eines Fragments des jeweiligen Passwortes.

Es schadet nicht, turnusmäßig mehrere Datenbanken abzufragen. Schließlich kann es sein, dass die einen Sicherheitsforscher Datensätze haben, die die anderen nicht haben und umgekehrt. Schon länger existiert etwa die « Pwned»-Datenbankabfrage des IT-Sicherheitsforschers Troy Hunt.

Auch Mozillas Leak-Abfragedienst « Firefox Monitor» greift auf Hunts «Pwned»-Datenbank zurück, arbeitet nahezu identisch, unterscheidet sich aber durch ein praktisches Detail: Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mailadresse registrieren und bekommt dann sofort Bescheid, falls eigene Identitätsdaten im Netz auftauchen sollten.

Auch Telefonnummern oder Geburtsdaten

Ebenfalls schon mit einer Abfragemöglichkeit namens « Identity Leak Checker» dabei ist das Potsdamer Hasso-Plattner-Institut (HPI). Auch hier müssen E-Mail-Adressen angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.

Gibt es bei einem der Dienste einen Treffer, sollte das verbrannte Passwort geändert und nicht weiter verwendet werden - es sei denn man kennt den Leak bereits oder seine Entdeckung liegt schon sehr lange zurück und man ist sich sicher, das Passwort zwischenzeitlich ohnehin längst geändert zu haben.

Die Tatsache, dass ein Passwort in keiner der Datenbanken steht, bedeutet übrigens keinesfalls zwangsläufig, dass es grundsätzlich sicher ist. Ausführliche Informationen zum Erstellen starker, sicherer Passwörter kann man etwa beim Bundesamt für Sicherheit in der Informationstechnik (BSI) nachlesen. Ergänzend rät die Behörde zudem zum Aktivieren einer Zwei-Faktor-Authentifizierung (2FA),wo immer sie angeboten wird.

Stark und einzigartig

Da Hacker für einen Dienst erbeutete Anmeldedaten mit sehr hoher Wahrscheinlichkeit auch gleich bei mehreren anderen populären Seiten ausprobieren, gilt zudem: Passwörter sollten nicht nur stark, sondern auch für jeden einzelnen Einsatzzweck individuell sein - auch und vor allem da, wo keine 2FA-Absicherung angeboten wird. Als Hilfsmittel zum Merken verschiedener starker Passwörter rät das BSI zu Merksätzen und vor allem zu Passwortmanagern.

Besonders wichtig ist generell ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken.

© dpa-infocom, dpa:210128-99-210849/2

"Leak Checker" der Universität Bonn

"Firefox Monitor"

"Pwned"-Datenbank

"Identity Leak Checker" des HPI

BSI-Tipps zum Erstellen sicherer Passwörter

BSI-Tipps zu Passwortmanagern

Mitteilung


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Im Dark Web werden derzeit Datensätze mit Log-in-Informationen für den Videochat-Dienst Zoom zum Kauf angeboten. Das berichtet das IT-Fachportal «Bleepingcomputer.com». Foto: Zacharie Scheurer/dpa-tmn Wer kennt mein Zoom-Passwort? Im Netz sollen Hunderttausende E-Mail-Adressen und Passwörter gehandelt werden, mit denen man sich bei Zoom anmelden kann. Müssen sich Nutzer des Videochat-Dienstes Sorgen machen?
Eine Liste aller Online-Anmeldungen lässt sich in einem passwortgeschützten Text-Dokument anlegen. Die Datei wird auf einem USB-Stick abgespeichert. Foto: Andrea Warnecke Tipps für mehr digitale Ordnung Online-Shopping, Spiele, Social Media: Für jedes Konto im Internet braucht man ein eigenes Passwort. Da ist schnell eines vergessen. Mit einigen Tipps wird das digitale Leben übersichtlicher - und sicherer.
Bei verschiedenen Diensten im Internet kann man überprüfen, ob man von einem Datenklau betroffen ist. Foto: Oliver Berg Bin ich gehackt worden? - Datenbanken können Antwort geben Persönliche Daten im Internet sind ein Alptraum. Noch folgenschwerer ist es aber, wenn Zugangsinformationen zu Accounts wie etwa dem Mail-Postfach durchs Netz geistern. Wer hier keinen Riegel vorschiebt, riskiert, dass immer neue Daten abfließen.
Praktisch sind Single-Sign-on-Angebote allemal - aber Experten raten aus Gründen des Datenschutzes und der Datensicherheit von ihnen ab. Foto: Sebastian Gollnow Log-in-Dienste haben ihren Sicherheits-Preis Anmelden mit nur einem Klick: Das versprechen Log-in-Dienste und halten es auch. Doch Nutzer bezahlen den Komfort oft mit Einbußen bei Privatsphäre und Datensicherheit. Wer die Dienste dennoch nutzen will, sollte einige Punkte beachten.