Digital
Online-Sicherheit

21 Millionen geklaute Passwörter im Netz – so prüfst du, ob du gehackt wurdest

Wenn dein Passwort auf dieser Webseite auftaucht, solltest du es schleunigst ändern
... cmon ...
Millionen unverschlüsselte Passwörter im Netz: Betroffen sind Internetnutzer weltweit.Bild: troyhunt

Hunderte Millionen geklaute Zugangsdaten im Netz – so prüfst du, ob du gehackt wurdest

Im Netz ist ein gewaltiger Datensatz mit gestohlenen Benutzernamen und Passwörtern aufgetaucht, die bei zig Datenlecks und Hackerangriffen erbeutet wurden. Alle diese Passwörter gelten als unsicher – und sollten daher auf keinen Fall genutzt werden.
17.01.2019, 16:0218.01.2019, 14:35
Mehr «Digital»

Im Internet ist ein gewaltiger Datensatz mit gestohlenen Anmelde-Informationen aufgetaucht. Darin enthalten sind knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen einmalige, im Klartext lesbare bzw. nicht verschlüsselte Passwörter. Diese können nun von Betrügern genutzt werden, um sich bei Nutzerkonten von Online-Shops oder sozialen Netzwerken anzumelden.

Dies berichtete der australische IT-Sicherheitsexperte Troy Hunt. Insgesamt umfasse die Sammlung mit dem Namen «Collection #1» mehr als eine Milliarde Kombinationen aus Benutzernamen und Passwörtern. Alle diese Login-Informationen gelten als unsicher und sollten daher auf keinen Fall weiter genutzt werden.

Der 87 Gigabyte grosse Datensatz bündele Informationen «aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen», schrieb Hunt in einem Blogeintrag. Der in der Szene sehr geschätzte Security-Experte erklärte weiter, es handle sich um den grössten einzelnen Datensatz dieser Art, mit dem er bislang zu tun gehabt habe. Betroffen sind Internetnutzer weltweit.

So prüfst du, ob du betroffen bist:

Wer überprüfen will, ob seine E-Mail-Adresse in der Sammlung auftaucht, kann Hunts Dienst haveibeenpwned.com nutzen. In der Datenbank wird die Adresse mit Abermillionen Informationen aus Datenlecks abgeglichen. Mit seinem Dienst lässt sich auch prüfen, ob das eigene Passwort in einem Datenleck aufgetaucht ist. Er habe auch die jüngsten Daten dort eingepflegt, erklärte der Microsoft-Mitarbeiter Hunt. 

So sieht das im Fall der Fälle dann aus:

Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text «Oh nein».  
Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text «Oh nein».  

Das solltest du nun tun:

  • Spätestens wenn die eigene Mail auf haveibeenpwned.com auftaucht, solle man über ein neues Passwort und wenn möglich über eine Zwei-Faktor-Authentifizierung nachdenken, rät Linus Neumann vom Chaos Computer Club. Bei der Zwei-Faktor-Authentifizierung entriegeln Nutzer den Zugang zu ihrem Onlinekonto oder Social-Media-Profil zusätzlich zum Passwort durch eine weitere Abfrage auf einem anderen Weg. Das kann beispielsweise eine SMS oder eine Code-Abfrage mittels Authenticator-App sein. 
  • Neumann rät, bei allen Online-Diensten ein jeweils anderes und zufälliges Passwort mit maximaler Länge zu nutzen. Diese sollen dann über einen Passwort-Manager verwaltet werden. Ein Passwort-Manager kann sich für jede einzelne Website oder App einen unaussprechlichen und wirklich sicheren Code ausdenken und merken. Als Nutzer muss man sich so nur noch ein Passwort merken, das Master-Passwort für den Passwort-Manager. Da der Passwort-Manager die zufällig generierten Passwörter verschlüsselt speichert, erreicht man eine hohe Sicherheit. Denn: Selbst wenn der Entwickler des Passwort-Managers gehackt würde, hätten die Angreifer nicht direkt Zugriff auf die eigenen Online-Konten.

Wer sich nicht ständig neue Passwörter ausdenken will, nutzt am besten einen Passwort-Manager.

Den Passwort-Manager LastPass gibt es für alle gängigen Betriebssysteme und Browser. Eine populäre Alternativen ist 1Password. 
Den Passwort-Manager LastPass gibt es für alle gängigen Betriebssysteme und Browser. Eine populäre Alternativen ist 1Password

Das kann passieren, wenn du nichts unternimmst:

Laut IT-Experte Hunt können die Datensätze besonders für das sogenannte «Credential Stuffing» missbraucht werden. Bei dieser Methode nutzen die Angreifer die Kombination aus E-Mail und Passwort, um sich auch bei anderen Diensten – beispielsweise bei sozialen Netzwerken oder Shopping-Plattformen – einzuloggen. Die Hacker gleichen dabei lange Listen mit Log-in-Daten automatisch mit den Zugangssystemen ab.

Auch Online-Erpesser nutzen Informationen aus solchen Datenlecks. «Die Betrüger kontaktieren ihre Opfer per E-Mail und behaupten, ihr Passwort zu kennen und intimes Videomaterial zu besitzen, das mit der Webcam aufgenommen wurde und sie angeblich dabei zeigt, pornografische oder illegale Inhalte anzusehen», sagt Ladislav Zezula vom Antiviren-Hersteller Avast.

Die Cyberkriminellen starten Angriffe wie den Sextortion-Scam und erpressen ihre Opfer

Datensätze wie Collection #1 werden tagtäglich im Darknet verkauft, wo Cyberkriminelle die Daten kaufen können, die oft E-Mail-Adressen, Passwörter und andere persönliche Informationen enthalten.&nbsp ...
Datensätze wie Collection #1 werden tagtäglich im Darknet verkauft, wo Cyberkriminelle die Daten kaufen können, die oft E-Mail-Adressen, Passwörter und andere persönliche Informationen enthalten. bild: avast

In den vergangenen Jahren hatte es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren. Die Passwörter waren dabei aber grösstenteils kryptografisch verschlüsselt gewesen. Die nun im Netz verfügbaren Anmelde-Informationen können von Betrügern direkt für Angriffe missbraucht werden.

«Es gibt keine Ausreden mehr. Jeder, der nichts für seine Sicherheit macht, handelt fahrlässig und geht ein Risiko ein.»
Linus Neumann, Chaos Computer Club

«Das Jahr ist gerade mal zwei Wochen alt und es ist bereits das zweite Mal, dass wir alarmierende Nachrichten haben», sagte Neumann auch mit Blick auf den massiven Online-Angriff auf knapp 1000 deutsche Politiker und Prominente, der Anfang Januar publik geworden war.

Update: Der Titel wurde angepasst, da die Login-Sammlung über 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern enthält. 21 Millionen davon sind einmalige Passwörter.

(oli/jb/sda/awp/dpa)

Sieben eindrückliche Hacker-Attacken der letzten Jahre

1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen

Nicht nur Hacker sind mühsam, auch «Autofahrer sind recht mühsam» ...

Video: watson/Peter Blunschi, Emily Engkent

Mehr Reviews: Die neusten Smartphones und Co. im Test

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
66 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Grobkenner
17.01.2019 16:57registriert Juli 2017
Gott sein Dank, meine Passwörter "iammoreb@tm@nthensuperm@n" und “EinhornRegenbogen69" sind nicht veröffentlicht worden... 😪
1113
Melden
Zum Kommentar
avatar
Ueli_DeSchwert
17.01.2019 17:06registriert September 2018
Wichtig dazu noch anzumerken:
Man sollte auf keiner Webseite sein Passwort eingeben, wenn man nicht weiss, wer dahinter steht.
In diesem Fall ist es kein Problem, Troy Hunt ist ein sehr vertrauenswürdiger Teil der Szene - aber eine Anmerkung dazu im Artikel wäre sicherheitstechnisch zu wünschen :)
996
Melden
Zum Kommentar
avatar
Hexenkönig
17.01.2019 16:39registriert September 2018
Ich empfehle KeePass zu nutzen: gratis (inkl. allen Features), Open-Source (Programmiercode überprüfbar) und auf allen gängigen Betriebssystemen inkl. Mobile verfügbar


Hinter 1 Password und LastPass stehen profitorientierte Unternehmen. Lastpass erlebte zudem schon mehrere, erfolgreiche Hackerangriffe aufgrund mehrerer Schwachstellen.
755
Melden
Zum Kommentar
66
Tastenhandys: Wer von der Redaktion tippt am schnellsten?

Machen wir einen Spaziergang in die Vergangenheit, in die Zeit, als Mobiltelefone ihren grossen Auftritt hatten. Stell dir vor: 1980er-Jahre, lange Haare, Neonlicht und die Geburt der allerersten Handys. Als Erstes hatten wir das Motorola DynaTAC 8000X, das Urgestein der Handys. Dieses 1983 auf den Markt gebrachte Gerät war etwa 25 Zentimeter lang, wog fast ein Kilo und kostete rund 4'000 Dollar.

Zur Story