Leak-DatenbankenVerbrannten Passwörtern auf der Spur
dpa/dj
7.2.2021 - 00:00
Im Netz werden zahllose E-Mail-Adressen und Passwörter gehandelt, die aus Datenlecks stammen oder bei Angriffen erbeutet worden sind. Ob eigene Zugangsdaten dabei sind, sollte man unbedingt wissen.
«Zutritt für Unbefugte verboten»: Wenn sich Hacker doch einfach daran halten würden. Tun sie aber nicht. Fallen ihnen Zugangsdaten für Internetdienste in die Hände, setzten sie diese auch ein oder verkaufen sie – oft zum Nachteil der Opfer.
Betroffene eines Identitätsdiebstahls müssen oft etwa auf einmal für Bestellungen gerade stehen, die Unbekannte in ihrem Namen aufgegeben haben. Der Schaden ist aber längst nicht immer nur finanzieller Natur. Wenn Fremde Zugang zu privaten Daten oder Fotos haben, die bei einem Onlinespeicherdienst liegen, kann das extrem belastend sein.
Um im Fall der Fälle nicht so eiskalt erwischt zu werden, sollten Nutzerinnen und Nutzer regelmässig prüfen, ob nicht vielleicht schon Log-in-Daten für einen oder mehrere ihrer Accounts durchs Netz geistern. Das ist mit der einfachen Abfrage von Datenbanken möglich, in die Sicherheitsforscher nach Hackerangriffen oder Datenlecks kompromittierte Zugangsdaten einpflegen.
Neuer «Leak Checker»
Ein ganz neues Angebot ist etwa der «Leak Checker» der Universität Bonn. Wie bei den Leak-Datenbanken üblich, gibt man die E-Mail-Adresse oder die E-Mail-Adressen, die man als Benutzername für Internetkonten- und -dienste nutzt, auf der jeweiligen Internetseite ein. Postwendend kommt dann per Mail die Benachrichtigung, ob und welche Accounts von einem Passwortklau betroffen sind – inklusive eines Fragments des jeweiligen Passwortes.
Es schadet nicht, turnusmässig mehrere Datenbanken abzufragen. Schliesslich kann es sein, dass die einen Sicherheitsforscher Datensätze haben, die die anderen nicht haben und umgekehrt. Schon länger existiert etwa die «Pwned»-Datenbankabfrage des IT-Sicherheitsforschers Troy Hunt.
Auch Mozillas Leak-Abfragedienst «Firefox Monitor» greift auf Hunts «Pwned»-Datenbank zurück, arbeitet nahezu identisch, unterscheidet sich aber durch ein praktisches Detail: Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mailadresse registrieren und bekommt dann sofort Bescheid, falls eigene Identitätsdaten im Netz auftauchen sollten.
Auch Telefonnummern oder Geburtsdaten
Ebenfalls schon mit einer Abfragemöglichkeit namens «Identity Leak Checker» dabei ist das Potsdamer Hasso-Plattner-Institut (HPI). Auch hier müssen E-Mail-Adressen angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.
Gibt es bei einem der Dienste einen Treffer, sollte das verbrannte Passwort geändert und nicht weiter verwendet werden – es sei denn man kennt den Leak bereits oder seine Entdeckung liegt schon sehr lange zurück und man ist sich sicher, das Passwort zwischenzeitlich ohnehin längst geändert zu haben.
Die Tatsache, dass ein Passwort in keiner der Datenbanken steht, bedeutet übrigens keinesfalls zwangsläufig, dass es grundsätzlich sicher ist. Wie man sichere Passwörter erstellt, erklärt etwa dieser Artikel. Ausserdem sollte man die Zwei-Faktor-Authentifizierung (2FA) aktivieren, wo immer sie angeboten wird.
Da Hacker für einen Dienst erbeutete Anmeldedaten mit sehr hoher Wahrscheinlichkeit auch gleich bei mehreren anderen populären Seiten ausprobieren, gilt zudem: Passwörter sollten nicht nur stark, sondern auch für jeden einzelnen Einsatzzweck individuell sein – auch und vor allem da, wo keine 2FA-Absicherung angeboten wird.
Besonders wichtig ist generell ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken.