IT-Sicherheit: Datensatz mit Millionen Passwörtern entdeckt

Im Internet ist ein gewaltiger Datensatz mit gestohlenen Log-in-Informationen aufgetaucht. Darin enthalten seien knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen im Klartext lesbare unterschiedliche Passwörter enthalten, berichtete der IT-Sicherheitsexperte Troy Hunt in der Nacht zum Donnerstag.

Der Datensatz bündele Informationen „aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen“, schrieb Hunt in einem Blogeintrag am Donnerstag. Der Microsoft-Mitarbeiter betreibt eine Datenbank, in der Internet-Nutzer überprüfen können, ob ihre Log-in-Informationen von Datendiebstählen betroffen sind.

In den vergangenen Jahren hatte es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren. Die Passwörter waren dabei aber größtenteils kryptografisch verschlüsselt gewesen.

Internetnutzer sollten jetzt prüfen, ob auch ihre Log-in-Daten ins Netz gelangt und dort mehr oder weniger frei auffindbar sind. Helfen können dabei Datenbanken, in die Sicherheitsforscher nach Hackerangriffen oder Datenlecks kompromittierte Zugangsdaten einpflegen.

Troy Hunt selbst betreibt etwa die Abfrage-Dienste „Pwned Passwords“ und „Have I been pwned?“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Internetnutzern, mit Hilfe solcher Dienste zu überprüfen, ob ihnen sensible Daten wie Benutzernamen und Passwörter bei bekannt gewordenen Datenabflüssen gestohlen worden sind.

Gibt es einen Treffer, sollte das verbrannte Passwort geändert und nicht weiter verwendet werden. Achtung: Die Tatsache, dass ein Passwort nicht in dieser oder einer der anderen Datenbanken steht, bedeutet nicht, dass es sicher ist.

Onlinekonten sollten nicht nur mit starken, sondern mit individuellen Passwörtern und möglichst einer Zwei-Faktor-Authentifizierung geschützt werden. Besonders wichtig ist ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken. Als Hilfsmittel zum Verwalten und Nutzen vieler verschiedener guter Passwörter rät das BSI zu Passwortmanagern. (dpa)