haveibeenpwned.com

Passwort? Bitte keines von diesen 320 Millionen

(Bild: haveibeenpwned.com)

Benötigen Sie ein neues Passwort? Dann sollten Sie besser keines der 320 Millionen verwenden, die die bekannte Website haveibeenpwned.com seit Kurzem für alle Internetnutzer zum kostenlosen Download anbietet.

Die absolute Sicherheit gibt es nicht. Weder in der realen noch in der virtuellen Welt des Internets. Sichere Passwörter können zwar Vieles verhindern, letztlich schützen aber auch sie nicht davor, wenn beispielsweise Website-Betreiber den ihnen anvertrauten Daten nicht die nötige Sicherheit zuteilwerden lassen und etwa sensible Daten unverschlüsselt auf ihren Servern speichern.

Umso wichtiger ist es nach dem Bekanntwerden von Datenlecks und -diebstählen, zu wissen, ob man selbst betroffen ist. Denn nur wenn dann schnell handelt und zum Beispiel sein Passwort oder den Nutzernamen ändert, kann möglicherweise Schlimmeres verhindern, sprich: den Missbrauch seiner Daten.

(Bild: thinkstockphotos.de)

"Hat es mich erwischt?"
Das Problem: Nur selten werden Nutzer vonseiten der Betreiber über Datendiebstähle informiert, sind sich der möglichen Risiken also gar nicht bewusst. Abhilfe verspricht in diesem Fall die Website "have i been pwned?" ("Hat es mich erwischt?"): Anhand von E-Mail-Adresse oder Nutzername lässt sich mit ihr schnell und einfach überprüfen, ob die eigenen Daten kompromittiert worden sind.

Datenabgleich mit 320 Millionen Nutzerkonten
Die Website gleicht dafür im Hintergrund die Eingaben mit den gestohlenen, frei im Netz kursierenden Daten von aktuell 227 Websites bzw. rund 320 Millionen Nutzerkonten ab. Tauchen die eigene E-Mail-Adresse oder der Nutzername darin auf, erhalten Nutzer mit dem Vermerk "Oh nein - erwischt" einen entsprechenden Warnhinweis.

Neuerdings auch Passwörter abrufbar
Die Idee dazu hatte Troy Hunt - ein von Microsoft anerkannter Entwickler für Sicherheitslösungen. Um das Internet für alle zu einem sichereren Ort zu machen, bietet er seit Donnerstag erstmals auch alle von ihm gesammelten 320 Millionen Passwörter anonymisiert - also ohne Verknüpfung zu E-Mail-Adresse oder Nutzername - zum kostenlosen Download an.

Firmen oder etwa Provider sollen mit ihrer Hilfe sichere Passwortregeln entwickeln und künftig etwa bereits bei der Registrierung eines Nutzers davor warnen, wenn dessen gewähltes Passwort schon einmal kompromittiert wurde, wie Hunt in einem Blogeintrag erläutert.

(Bild: thinkstockphotos.de)

Die Passwort-Datenbank lässt sich auch online abrufen. Aus Sicherheitsgründen empfiehlt Hunt jedoch, selbst über seine Seite keine aktuell verwendeten Passwörter abzufragen. Sollte das eigene (frühere) Passwort nicht in der Datenbank aufscheinen, bedeute dies übrigens nicht zwangsweise, dass das Passwort auch gut und somit sicher sei, sondern eben lediglich, dass es von seiner Website bislang nicht erfasst wurde.

Automatische Warnung
Übrigens: Wer sich kostenlos registriert, wird automatisch informiert, sollte seine E-Mail-Adresse künftig in gestohlenen Datensätzen aufscheinen.