Update 06.09.2017
Aus Forschungsgründen (und um ihre Neugierde zu befriedigen) haben die Sicherheitsforscher von „CynoSure Prime“ die Hashes von nahezu allen der 320 Millionen Passwörter geknackt.
Original-Artikel
Ihr seid auf der Suche nach dem einen, dem unschlagbaren Passwort? Nun, Sicherheitsexperte Troy Hunt hat ein paar Hundert Millionen davon – die ihr tunlichst vermeiden solltet. Troy Hunt ist durch seine Webseite haveibeenpwned.com („Have I been pwned?“ – sehr frei übersetzt: „Hat’s mich erwischt?“) bekannt: Dort stellt er eine Suche zur Verfügung, mit der man nachschauen kann, ob die eigene E-Mail-Adresse von einer Datenpanne betroffen ist. Nun gibt es eine neue Option auf seiner Webseite: Man kann überprüfen, ob ein Passwort schon einmal von einer Datenpanne betroffen war. Ziel der Aktion ist es, dass Privatpersonen wie auch Unternehmen die eigene Sicherheit verbessern können.
Warum solltet ihr euch die Passwortsuche anschauen?
In den letzten Jahren gab es recht viele Datenlecks. Um mal einige größere zu nennen: LinkedIn, Yahoo, Dropbox, Lastfm, MySpace, Adobe, Tumblr und Badoo. Natürlich gab es noch wesentlich mehr Pannen, es würde aber den Artikel sprengen, alle hier aufzulisten. Warum ich das überhaupt erwähne? Um sicherzustellen, dass wenn ihr gerade mal ein neues Passwort benötigt, ihr dann keine Passwörter verwendet, die bereits zuvor in Datenpannen involviert waren. Das sind dann nämlich genau die Passwörter, die in den Tools eines Hackers enthalten sind – völlig unabhängig davon, wie zufällig oder auch kompliziert sie mal waren. Die Suche auf haveibeenpwened.com soll diesen Zweck erfüllen:
Meine Hoffnung ist, dass dieser einfach zugängliche Service dafür sorgt, die bei mir schon seit langem eingegangenen Anfragen, E-Mail-Adressen und Passwort-Paare zur Verfügung zu stellen, zu erfüllen. Wenn hier das Passwort mit einem Treffer zurück kommt, ist das ein ziemlich guter Grund, dieses Passwort nicht mehr zu nutzen – unabhängig davon, in Verbindung mit welchem Account es ursprünglich genutzt wurde. — Troy Hunt
Er gibt auch die Empfehlung nicht nach Passwörtern zu suchen, die ihr aktuell aktiv verwendet.
Es versteht sich von selbst (auch wenn es auf der Webseite noch einmal explizit erwähnt wird), dass ihr bei Drittanbietern – inklusive meiner Seite – nicht nach Passwörtern suchen solltet, die ihr derzeit verwendet. Ich speichere diese Passwörter nicht und ich bin ein vertrauenswürdiger Mensch – aber dennoch: macht es einfach nicht. Der Punkt dieses webbasierten Services ist es, dass Leute, die nachlässig mit ihren Passwörtern umgegangen sind, über eine unabhängige Bestätigung verfügen, die ihnen sagt, dass sie dieses Passwort nicht mehr nutzen sollten. Wohlgemerkt, das kann auch jemand sein, der ein sehr gutes und sicheres Passwort genutzt hat. Wenn eine Webseite allerdings das Passwort in Klartext speichert und die Daten dann geklaut werden, ist es dennoch „verbrannt“. — Troy Hunt
Auch wenn ihr nicht nach euren aktuellen Passwörtern schauen solltet, kann das Tool aber euch, euren Freunden und Mitarbeitern eins klarmachen: „Dieses Passwort wurde bei einer Datenpanne bereits entdeckt. Ihr solltet es also nicht nutzen!“
Mit einer Datenbank von 320 Millionen Passwörtern wird es allerdings leider auch recht schwierig, das eine, das unschlagbare Passwort zu finden.
So erstellt ihr ein sicheres Passwort
Auch wenn man sich in diesen Daten nicht wiederfindet, zeigt schon allein die schiere Anzahl an Datensätzen, dass man seine Account-Sicherheit regelmäßig überdenken sollte. Die folgenden Tipps helfen euch, euer Passwort sicher zu gestalten und zu schützen:
- Passwörter á la 1234 sind ein No-Go. Am besten nutzt ihr auch kein Passwort aus der Liste der schlimmsten Passwörter.
- Nutzt auf keinen Fall das gleiche Password für alle eure Accounts.
- Passwörter sollten in regelmäßigen Abständen geändert werden – ja, auch das eures E-Mail-Accounts.
- Ein Passwort Manager vereinfacht das Leben und ihr müsst euch nur noch ein einziges Passwort merken: das Master-Passwort.
Werdet ihr die Passwortsuche ausprobieren?
