Aktuelle Themen:
Millionen unverschlüsselte Passwörter im Netz: Betroffen sind Internetnutzer weltweit. Bild: troyhunt
Im Netz ist ein gewaltiger Datensatz mit gestohlenen Benutzernamen und Passwörtern aufgetaucht, die bei zig Datenlecks und Hackerangriffen erbeutet wurden. Alle diese Passwörter gelten als unsicher – und sollten daher auf keinen Fall genutzt werden.
Im Internet ist ein gewaltiger Datensatz mit gestohlenen Anmelde-Informationen aufgetaucht. Darin enthalten sind knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen einmalige, im Klartext lesbare bzw. nicht verschlüsselte Passwörter. Diese können nun von Betrügern genutzt werden, um sich bei Nutzerkonten von Online-Shops oder sozialen Netzwerken anzumelden.
Dies berichtete der australische IT-Sicherheitsexperte Troy Hunt. Insgesamt umfasse die Sammlung mit dem Namen «Collection #1» mehr als eine Milliarde Kombinationen aus Benutzernamen und Passwörtern. Alle diese Login-Informationen gelten als unsicher und sollten daher auf keinen Fall weiter genutzt werden.
Der 87 Gigabyte grosse Datensatz bündele Informationen «aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen», schrieb Hunt in einem Blogeintrag. Der in der Szene sehr geschätzte Security-Experte erklärte weiter, es handle sich um den grössten einzelnen Datensatz dieser Art, mit dem er bislang zu tun gehabt habe. Betroffen sind Internetnutzer weltweit.
Wer überprüfen will, ob seine E-Mail-Adresse in der Sammlung auftaucht, kann Hunts Dienst haveibeenpwned.com nutzen. In der Datenbank wird die Adresse mit Abermillionen Informationen aus Datenlecks abgeglichen. Mit seinem Dienst lässt sich auch prüfen, ob das eigene Passwort in einem Datenleck aufgetaucht ist. Er habe auch die jüngsten Daten dort eingepflegt, erklärte der Microsoft-Mitarbeiter Hunt.
Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text «Oh nein».
Den Passwort-Manager LastPass gibt es für alle gängigen Betriebssysteme und Browser. Eine populäre Alternativen ist 1Password.
Laut IT-Experte Hunt können die Datensätze besonders für das sogenannte «Credential Stuffing» missbraucht werden. Bei dieser Methode nutzen die Angreifer die Kombination aus E-Mail und Passwort, um sich auch bei anderen Diensten – beispielsweise bei sozialen Netzwerken oder Shopping-Plattformen – einzuloggen. Die Hacker gleichen dabei lange Listen mit Log-in-Daten automatisch mit den Zugangssystemen ab.
Auch Online-Erpesser nutzen Informationen aus solchen Datenlecks. «Die Betrüger kontaktieren ihre Opfer per E-Mail und behaupten, ihr Passwort zu kennen und intimes Videomaterial zu besitzen, das mit der Webcam aufgenommen wurde und sie angeblich dabei zeigt, pornografische oder illegale Inhalte anzusehen», sagt Ladislav Zezula vom Antiviren-Hersteller Avast.
Datensätze wie Collection #1 werden tagtäglich im Darknet verkauft, wo Cyberkriminelle die Daten kaufen können, die oft E-Mail-Adressen, Passwörter und andere persönliche Informationen enthalten. bild: avast
In den vergangenen Jahren hatte es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren. Die Passwörter waren dabei aber grösstenteils kryptografisch verschlüsselt gewesen. Die nun im Netz verfügbaren Anmelde-Informationen können von Betrügern direkt für Angriffe missbraucht werden.
Linus Neumann, Chaos Computer Club
«Das Jahr ist gerade mal zwei Wochen alt und es ist bereits das zweite Mal, dass wir alarmierende Nachrichten haben», sagte Neumann auch mit Blick auf den massiven Online-Angriff auf knapp 1000 deutsche Politiker und Prominente, der Anfang Januar publik geworden war.
Update: Der Titel wurde angepasst, da die Login-Sammlung über 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern enthält. 21 Millionen davon sind einmalige Passwörter.
(oli/jb/sda/awp/dpa)
Video: watson/Peter Blunschi, Emily Engkent
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis! 
Highlight
Wichtig dazu noch anzumerken: Highlight
Ich empfehle KeePass zu nutzen: gratis (inkl. allen Features), Open-Source (Programmiercode überprüfbar) und auf allen gängigen Betriebssystemen inkl. Mobile verfügbar Highlight
Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs Highlight
Problem erkannt - Lösung komplett verfehlt. Warum? Ausgangslage: Ein User hat 200 Logins zu unterschiedlichsten Seiten aber immer ein anderes sehr komplexes Passwort. Nun checkt er seine E-Mail-Adresse und bekommt die Warnmeldung "gehackt". Super – ganz ganz toll. Welcher seiner über 400 Accounts bei denen er seine E-Mail verwendete ist denn nun betroffen? Darüber schweigt sich die Seite haveibeenpwned.com leider aus. Offenbar sind auch die klügsten Informatik-Experten nicht davor gefeilt, einfachste Logikfehler zu begehen und unnütze Pseudo-Lösungen anzubieten. Highlight
Highlight
Der Nutzung von Passwort-Apps traue ich nicht. Auch das Eingeben von „richtigen“ Mailadressen in Troy Hunts Datensammlungs-DB, ist verdächtig! Highlight
Ich glaube was du meinst sind Passwort Hasher. Du hast ein Master Passwort plus ein langer Hash und zusammen mit dem Domain Name wie watson aus watson.ch wird ein Passwort generiert das 20 Zeichen lang sein kann. Highlight
Bringt den meisten Leider nichts, da man nicht weis, welches Passwort ich nun ändern muss. Highlight
Frage: wie sehr kann ich dieser pwned website vertrauen ? Highlight
Juhu bin wieder drin ;-). Jetz schon etwa 7 mal. Hab aber mein altes standart Passwort schon lange nicht. Ich vertrau jetzt apple mit meinen Passwörtern. Highlight
<Da der Passwort-Manager die zufälligen generierten Passwörter verschlüsselt speichert, erreicht man eine hohe Sicherheit. Denn: Selbst wenn der Passwort-Manager gehackt würde, hätten die Angreifer nicht direkt Zugriff auf die eigenen Online-Konten.> Highlight
Damit ist wahrscheinlich gemeint, dass das File des Passwortmanagers verschlüsselt ist. Durch das Passwort des Passwortmanagers entschlüsselst du die Daten und sie sind für dich sichtbar. Es ist sehr zu empfehlen Passwortmanager zu nutzen, mit einem starken Passwort zu verschlüsseln/öffnen und die anderen Passwörter vom Generator zu generieren. Unterschiedliche Passwörter für jeden Account und den Passwortmanager sichern auf mehreren externen Datenspeicher. Am Anfang etwas Aufwand, danach viel sicherer. Highlight
Ich nehme an, da geht es um Passwort-Manager, die die Passwörter in der Cloud speichern, z. B. Last Pass oder 1Password. Die speichern die Passwörter (hoffentlich) verschlüsselt. Entschlüsselt und damit nutzbar werden sie erst im Client (das kann auch eine Website sein), nachdem du das Masterpasswort eingegeben hast. Das heisst selbst wenn jemand beim Passwort-Manager-Anbieter einbricht, und dort die ganze Datenbank klaut, kann er mit den Passwörtern nichts anfangen, solange er dein Masterpasswort nicht kennt. Deshalb ist es wichtig, dass das sicher aufbewahrt wird und nicht zu einfach ist. Highlight
Ok, ok. Ich habe mich entschieden einen Passwort Manager zu benutzen. Ich benutze macOS, Win10 und Android. Was ist meine beste Option? Highlight
Darum finde ich es super dass die Schweizer Post so ein sicheres System hat. Achtung Ironie: man kann da ein Häkchen setzen ,Passwort anzeigen’ !!!!! Und es wird einem auch gezeigt!!! Hallo??? Highlight
Beim einloggen? Kein Problem. Oder sogar gewünscht, da es sich in Versuchen gezeigt hat, dass User zu einfacheren Passwörtern tendieren, wenn sie sie bei der Eingabe nicht sehen können. Ist ja auch klar: ein kryptisches Passwort tippst du nicht so leicht blind ein. Highlight
Was bedeutet es für mich konkret wenn nur eine meiner Mailadressen und kein Passwort geleakt ist? Grund zur Sorge? Highlight
Pwnd on two websites: Highlight
Easy checken ob man betfroffen ist🤷🏻♂️ Highlight
Wichtig dazu noch anzumerken: Highlight
Ich wurde gehackt. Highlight
Bin auch betroffen, habe heute nacht die info per mail von haveibeenpwned bekommen. Jetzt wird es wohl echt mal zeit, einen passwort Manager zu testen. Highlight
Gott sein Dank, meine Passwörter "iammoreb@tm@nthensuperm@n" und “EinhornRegenbogen69" sind nicht veröffentlicht worden... 😪 Highlight
Die ganzen starken Passwörter helfen aber leider nicht gegen den Klau und Missbrauch der E-Mail-Adressen. Highlight
Ich empfehle KeePass zu nutzen: gratis (inkl. allen Features), Open-Source (Programmiercode überprüfbar) und auf allen gängigen Betriebssystemen inkl. Mobile verfügbar Highlight
Es wird immer wichtiger, benutzt nur ein Passwort pro Dienst/Webseite, aktiviert wenn möglich 2-Faktor Authentifizierung. Passwortmanager helfen einem den Überblick zu behalten, am besten eine App die auf allen Betriebsystemen läuft und evtl. auch auf Smartphones synchronisiert werden kann. So hat man alle Passwörter auch auf dem Smartphone. 
