Millionen gestohlene Passwörter

22.01.2019

Hacker gibt es schon seit Beginn des World Wide Webs. Mit der Zeit werden diese aber immer klüger und trickreicher. Viele Hacker haben es vor allem auf Passwörter abgesehen, mit denen die verschiedensten Konten übernommen werden können. Die eigentlichen Besitzer dieser Konten merken es oft erst zu spät oder teilweise auch gar nicht, dass sie gehackt wurden.

„Have I Been Pwned“

Seit 2013 betreibt Troy Hunt die Passwort-Sicherheits-Webseite „Have I Been Pwned“ (HBIP), auf welcher User sehr einfach überprüfen können, ob ihre Mailadresse gehackt wurde und ob sie irgendwo im Netz mitsamt Passwort veröffentlicht wurde. Seit November 2017 hat die Webseite täglich über 60.000 Besucher. Verbraucher können sich auch für einen E-Mail-Service auf der Webseite anmelden und regelmäßig Informationen zu neuen Datenleaks erhalten. Über eine Millionen Verbraucher haben sich bereits für diesen Dienst angemeldet. Die Webseite ist nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vertrauenswürdig und kann ohne Bedenken von Verbrauchern genutzt werden. Hunt hat nun eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern in einem Untergrund-Forum entdeckt. Der Datensatz wurde unter dem Namen „Collection #1“ gehandelt. In dieser Sammlung befinden sich knapp 773 Millionen Mailadressen und 21 Millionen verschiedene Passwörter. Daraus ergeben sich über eine Milliarde unterschiedliche mögliche Kombinationen.

Wo kommen diese Daten her?

Laut Hunt stammen die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit und wurden unter dem Namen „Collection #1“ einfach zusammengetragen. Theoretisch wäre es möglich, anhand der Verzeichnisstruktur des Datensatzes, herauszubekommen wo die Daten herstammen. Dies benötigt aber sehr viel Aufwand und Zeit und ist daher nahezu unlösbar. Zudem würde dazu die Kooperation jedes einzelnen Dienstes benötigt. Die gesammelten Daten seien von den Anbietern so strukturiert, dass sie vor allem für „Credential Stuffing“ zu gebrauchen sind. Dies ist eine spezielle Art des Hackings, bei dem der Hacker nicht das Passwort eines einzelnen Accounts knackt, sondern einen Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste füttert. Die gefundene Datensammlung kann leicht dazu benutzt werden, um massenweise Konten bei verschiedenen Webdiensten zu übernehmen. Diese Taktik ist oft sehr erfolgreich, weil Nutzer oft die gleichen Passwörter bei verschiedenen Diensten verwenden.

Passwortsicherheit

Verbraucher, die sich sorgen machen, dass ihre Mailadresse mit dem dazugehörigen Passwort in der Datensammlung auftauchen könnte, können Hunts Dienst HIBP verwenden. Dort sind die Daten gespeichert. Der Dienst sagt dem Anwender dann, ob seine Mailadresse Teil der Datensammlung ist. Aus rechtlichen und logistischen Gründen werden aber keine Passwörter in dem Dienst gespeichert. Sollte sich die eigene Adresse in dem Datensatz befinden, sollte das dazugehörige Passwort umgehend geändert werden. Um sich allgemein vor Passwortklau auf Webseiten zu schützen, sollten Passwörter nur in Passwort-Felder auf den Seiten eingegeben werden. Außerdem sollte für jede Webseite ein anderes Passwort genutzt werden. Viele Verbraucher machen den Fehler und benutzen ein und dasselbe Passwort für zahlreiche Webseiten und Dienste und machen es Hackern damit sehr einfach an sensible Daten zu gelangen. Hunt empfiehlt für die Sicherheit der Passwörter einen Passwortmanager. Passwortmanager sind Computerprogramme, mit deren Hilfe ein User Kennwörter und Geheimzahlen verschlüsselt speichern, verwalten und oft auch sichere Kennwörter erzeugen kann.