24 Milliarden Zugangsdaten kursieren im Netz. Warum ein einziges wiederverwendetes Passwort dein ganzes digitales Leben aufschließt, und was wirklich hilft.
Datenputzer · Der Newsletter von Max

Ein Passwort geklaut, dein halbes Leben offen

Hallo,

dieser Sommer hat beim Thema geklaute Zugangsdaten jedes Mass gesprengt. Im Juni stießen Forscher von Cybernews auf eine offen im Netz liegende Sammlung mit rund 24 Milliarden Login-Datensätzen, 8,3 Terabyte, darin Nutzernamen, E-Mail-Adressen und Passwörter im Klartext (Bericht bei Malwarebytes). Fast zeitgleich nahm der Warndienst Have I Been Pwned 124 Millionen Passwörter und 56 Millionen E-Mail-Adressen neu auf, allesamt aus sogenannten Stealer-Logs (t-online).

Das Perfide daran: Hinter solchen Zahlen steckt selten der eine spektakuläre Mega-Hack. Der Grossteil stammt aus Infostealern, kleiner Schadsoftware, die sich auf einem infizierten Rechner einnistet und still im Hintergrund die im Browser gespeicherten Passwörter ausliest. Stell dir einen Einbrecher vor, der nicht ein Schloss knackt, sondern dein komplettes Schlüsselbund abfotografiert und wieder verschwindet.

Und jetzt kommt der Punkt, der aus einem geklauten Passwort eine Katastrophe macht: die Wiederverwendung. Wer dasselbe Passwort bei zehn Diensten nutzt, gibt Angreifern einen Generalschlüssel. Die probieren dein Login-Paar aus E-Mail und Passwort nämlich vollautomatisch bei hunderten weiteren Portalen durch. Fachleute nennen das Credential Stuffing, das automatisierte Anklopfen an tausend digitalen Haustüren mit demselben Schlüssel. Ein Treffer beim Shop, und schon steht die Tür zu Postfach, Bezahldienst und Social Media weit offen.

Die gute Nachricht: Du bist dem nicht ausgeliefert. Drei Schritte, die das Bundesamt für Sicherheit in der Informationstechnik ausdrücklich empfiehlt (BSI zum Accountschutz):

1. Für jeden Dienst ein eigenes Passwort. Merken kann sich das kein Mensch, deshalb gehört die Verwaltung in einen Passwort-Manager. Das BSI empfiehlt deren Einsatz trotz kleinerer Schwächen weiterhin klar, weil der Gewinn durch einzigartige Passwörter alles andere überwiegt.

2. Zweiter Riegel per Zwei-Faktor. Aktiviere überall, wo es geht, die Zwei-Faktor-Authentisierung oder steige auf Passkeys um. Selbst wenn dein Passwort im nächsten Dump auftaucht, bleibt die Tür ohne den zweiten Faktor zu.

3. Prüfen, ob es dich schon erwischt hat. Finde heraus, ob deine Adresse in bekannten Leaks steckt, und tausche betroffene Passwörter sofort aus. Falls du es unkompliziert magst: Mit unserem kostenlosen E-Mail-Check siehst du in Sekunden, ob deine Adresse in kursierenden Datenlecks aufgetaucht ist.

Und weil weniger Konten auch weniger Angriffsfläche bedeuten: Jeder Datensatz, der über dich nicht mehr existiert, kann auch nicht geleakt werden. Genau daran arbeiten wir täglich. Bleib wachsam.

Dein Max


Frisch aus dem Magazin

Lidl-Datenleck: Kundendaten über einen IT-Dienstleister abgeflossen

Lidl warnt Onlineshop-Kunden vor einem Datendiebstahl bei einem externen Dienstleister. Abgeflossen sind Anrede, Name, Telefonnummer, E-Mail, Geburtsdatum und Kundennummer, Passwörter und Zahlungsdaten bleiben laut Lidl unberührt. Wir zeigen dir, wie du dich gegen die zu erwartende Phishing-Welle wappnest.

Weiterlesen

Smart-TV-Spion abschalten: So stoppst du das ACR-Tracking

Dein Fernseher erkennt per ACR sekündlich, was auf dem Bildschirm läuft, und baut daraus ein Werbeprofil. Wir erklären Schritt für Schritt, wie du das Tracking bei Samsung, LG und Co. deaktivierst und das ganze Heimnetz absicherst. Dazu, wie du bereits gesammelte Datenspuren wieder löschen lässt.

Weiterlesen

Kundenkarten: Was Payback und Co. wirklich über dich wissen

Kleiner Rabatt, großer Einblick. Wir zeigen, wie Bonusprogramme wie Payback, DeutschlandCard und Lidl Plus aus jedem Einkauf ein Konsumprofil formen und was die DSGVO dir dagegen in die Hand gibt. Und wie du deine gesammelten Datenspuren wieder löschst.

Weiterlesen

Aus dem Tresor-Magazin: Trainiert Google seine KI mit deinen Drive-Dateien?

Ein Faktencheck auf Basis von Googles eigener Dokumentation. Für zahlende Workspace-Konten schließt Google das KI-Training an deinen Dateien aus, bei kostenlosen Privatkonten sieht es anders aus, sobald du Gemini nutzt. Wir sagen dir, was du konkret dagegen tun kannst.

Weiterlesen

Deine Dateien, dein Schlüssel: der Datenputzer Tresor

Passend zur Google-Frage von oben: Beim Datenputzer Tresor liegen deine Dokumente Ende-zu-Ende verschlüsselt auf deutschen Servern. Zero-Knowledge heißt, den Schlüssel hältst nur du, nicht einmal wir können in deine Dateien schauen. Kein Mitlesen, kein KI-Futter, keine Hintertür.

Zum Tresor

Du erhältst diese E-Mail, weil du dich zum Datenputzer-Newsletter angemeldet und deine Adresse bestätigt hast.

Newsletter abbestellen  ·  Alle Ausgaben im Archiv

Datenputzer · Kevin Pabst IT-Dienstleistungen · Eichenweg 6 · 74354 Besigheim · Deutschland
Impressum