Es ist die größte Sammlung von Nutzerdaten, die jemals im Netz verteilt wurde: Daten von 3,27 Milliarden Onlineaccounts von einer Unmenge von Internetseiten werden gerade frei angeboten. Darunter auch von vielen populären Seiten und Diensten wie Netflix. Höchste Zeit also, die eigenen Accounts abzusichern.
Neu sind die gelakten Daten offenbar nicht, berichtet "Cybernews". Die "Combination of Many Breaches" (Sammlung vieler Datenlecks), kurz COMB, genannte Sammlung vereint demnach eine große Zahl aus früheren Lecks bekannter Accounts in einer großen, durchsuchbaren Sammlung. Während solche Daten oft in spezialisierten Foren etwa im Darknet gehandelt werden, ist diese frei zugänglich - und damit ein Schatz für jede Art von Online-Kriminellen. Und: Weil viele Nutzer dieselbe Kombination aus Nutzername und Passwort auf mehreren Seiten verwenden, dürften deutlich mehr Accounts angreifbar sein als gelistet sind. Denn natürlich werden die bekannten Kombinationen dann auch auf anderen Seiten ausprobiert.
So finden Sie heraus, ob Sie betroffen sind
Da die gestohlenen Kombinationen aus Passwort und Nutzername oder E-Mail bereits aus früheren Leaks bekannt zu sein scheinen, lässt sich recht schnell prüfen, ob die eigenen Accounts betroffen sind. Am einfachsten geht das über die Seite "Have i been pwned". Gibt man dort die eigene E-Mail-Adresse ein, spuckt die Datenbank sofort aus, ob, wann und wo die eigenen Zugangsaten bereits kompromittiert wurden.
Eine noch bessere Variante ist aber, die Daten gleich dort zu ändern, wo sie gespeichert sind - also im Browser oder Betriebssystem. Google Chrome und der Mozilla Firefox erlauben das etwa direkt im Browser, auch Apples Keychain genannter Passwort-Speicher warnt, wenn Passwörter geleakt wurden oder durch Mehrfachnutzung indirekt gefährdet sind. Für Google finden Sie die Passwörter hier, Firefox-Nutzer klicken diesen Link. iPhone-Nutzer finden die Keychain in den Einstellungen unter "Passwörter". Unter den Punkten Passwortcheck (Chrome) oder Sicherheitsempfehlungen (iOS) finden Sie dann Passwörter, die sie lieber ändern sollten.
Das lässt sich gleich vor Ort erledigen, bei Bedarf werden sogar sichere Passwörter vorgeschlagen. Praktisch: Hat man sein Passwort mal vergessen, kann man sie dort gleich nachschauen, die Authentifizierung erfolgt über das Systempasswort oder im Falle des iPhones über die Fingerabdruck oder die Gesichtserkennung FaceID, wenn diese eingerichtet wurden.
So einfach sind sichere Passwörter
Die Passwort-Vorschläge sind auch deshalb sinnvoll, weil viele Nutzer nach wie vor viel zu einfache Passwörter nutzen. Zwar ist die Idee, ständig das Passwort zu wechseln, mittlerweile überholt. Hat man aber noch zu oft dasselbe Passwort im Einsatz oder setzt auf zu leichte Varianten, sollte man alle Passwörter dringend ein letztes Mal durchwechseln - und dabei auf wirklich sichere und vor allem unterschiedliche Passwörter setzen.
Dabei gibt es eigentlich nur eine einzige wichtige Regel: Je komplexer das Passwort, desto schwerer ist es für eine Maschine zu erraten. Der wichtigste Faktor ist dabei die Länge: Unter zwölf Zeichen sollte kein Passwort haben, je mehr es sind, desto besser. Auch Groß- und Kleinschreibung, Zahlen und Sonderzeichen erhöhen die Komplexität zusätzlich. Sehr wichtig: Das Passwort sollte in dieser Form nicht in Wörterbüchern stehen. Eine Folge willkürlich zusammengewürfelter Worte - also nicht gerade ein bekannter Songtext - ist zwar in Ordnung. Besser sind aber Zeichenfolgen ohne Bedeutung. Was ein Experte zu den zahlreichen Passwort-Mythen sagt, erfahren Sie hier.
Klare Empfehlung zum Passwort-Manager
Da sich das natürlich kein Mensch merken kann, gibt es von Seiten der Sicherheits-Profis eine klare Empfehlung: Nutzen Sie einen Passwort-Manager! Galt das Passwortspeichern im Browser lange als unsicher, weil die Zugangsdaten im Klartext gespeichert wurden, haben Apple, Mozilla dieses Manko mittlerweile alle behoben. Wer oft zwischen Browsern und Betriebssystemen hin- und herwechselt oder Zusatzfunktionen sucht, sollte sich trotzdem ein externes Programm ansehen. Eine Übersicht der von Stiftung Warentest geprüften Passwort-Manager und ihre Funktionen finden Sie in diesem Artikel.
Doppelte Sicherheit
Wer sich nicht alleine auf die Sicherheit des Passwortes verlassen möchte, sollte eine weitere Barriere zur Übernahme des eigenen Kontos einrichten: die sogenannte Zwei-Faktor-Authentifizierung. Sie sorgt dafür, dass bei der Anmeldung auf einem bisher unbekannten Gerät erst eine weitere Bestätigung eingeholt werden muss, bevor der Account freigegeben wird. Das kann eine SMS, ein Dienst wie der Google Authenticator oder eine Abfrage auf einem vertrauten Gerät sein. Viele Dienste und Apps bieten die Option mittlerweile an, bei manchen ist sie sogar Pflicht. Die Option findet sich in der Regel in den Account- oder Sicherheitseinstellungen und ist generell zu empfehlen.
Quelle: Cybernews
Lesen Sie auch:
Warum Sie sofort Ihr Passwort ändern sollten - und wann Sie es lieber bleiben lassen
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
