Ein Passwort geklaut, dein halbes Leben offen
Hallo,
dieser Sommer hat beim Thema geklaute Zugangsdaten jedes Mass gesprengt. Im Juni stießen Forscher von Cybernews auf eine offen im Netz liegende Sammlung mit rund 24 Milliarden Login-Datensätzen, 8,3 Terabyte, darin Nutzernamen, E-Mail-Adressen und Passwörter im Klartext (Bericht bei Malwarebytes). Fast zeitgleich nahm der Warndienst Have I Been Pwned 124 Millionen Passwörter und 56 Millionen E-Mail-Adressen neu auf, allesamt aus sogenannten Stealer-Logs (t-online).
Das Perfide daran: Hinter solchen Zahlen steckt selten der eine spektakuläre Mega-Hack. Der Grossteil stammt aus Infostealern, kleiner Schadsoftware, die sich auf einem infizierten Rechner einnistet und still im Hintergrund die im Browser gespeicherten Passwörter ausliest. Stell dir einen Einbrecher vor, der nicht ein Schloss knackt, sondern dein komplettes Schlüsselbund abfotografiert und wieder verschwindet.
Und jetzt kommt der Punkt, der aus einem geklauten Passwort eine Katastrophe macht: die Wiederverwendung. Wer dasselbe Passwort bei zehn Diensten nutzt, gibt Angreifern einen Generalschlüssel. Die probieren dein Login-Paar aus E-Mail und Passwort nämlich vollautomatisch bei hunderten weiteren Portalen durch. Fachleute nennen das Credential Stuffing, das automatisierte Anklopfen an tausend digitalen Haustüren mit demselben Schlüssel. Ein Treffer beim Shop, und schon steht die Tür zu Postfach, Bezahldienst und Social Media weit offen.
Die gute Nachricht: Du bist dem nicht ausgeliefert. Drei Schritte, die das Bundesamt für Sicherheit in der Informationstechnik ausdrücklich empfiehlt (BSI zum Accountschutz):
1. Für jeden Dienst ein eigenes Passwort. Merken kann sich das kein Mensch, deshalb gehört die Verwaltung in einen Passwort-Manager. Das BSI empfiehlt deren Einsatz trotz kleinerer Schwächen weiterhin klar, weil der Gewinn durch einzigartige Passwörter alles andere überwiegt.
2. Zweiter Riegel per Zwei-Faktor. Aktiviere überall, wo es geht, die Zwei-Faktor-Authentisierung oder steige auf Passkeys um. Selbst wenn dein Passwort im nächsten Dump auftaucht, bleibt die Tür ohne den zweiten Faktor zu.
3. Prüfen, ob es dich schon erwischt hat. Finde heraus, ob deine Adresse in bekannten Leaks steckt, und tausche betroffene Passwörter sofort aus. Falls du es unkompliziert magst: Mit unserem kostenlosen E-Mail-Check siehst du in Sekunden, ob deine Adresse in kursierenden Datenlecks aufgetaucht ist.
Und weil weniger Konten auch weniger Angriffsfläche bedeuten: Jeder Datensatz, der über dich nicht mehr existiert, kann auch nicht geleakt werden. Genau daran arbeiten wir täglich. Bleib wachsam.
Dein Max
|