Sind Ihre Login-Daten noch sicher?

Der Verdacht, dass jemand Zugriff auf die eigenen Internetkonten vom E-Mail-Postfach über Foto- oder Videoplattformen und Onlinespeicher bis hin zu sozialen Netzwerken haben könnte, lässt niemanden ruhig schlafen. Erst von wenigen Wochen ist unter dem Namen «Collection #1» eine Sammlung mit 770 Millionen E-Mail-Adressen und 21 Millionen Passwörtern aufgetaucht. Kürzlich sind die Collections #2 bis #5 ins Netz gelangt. Die Kollege von «Heise» schätzen, dass diese nochmals umfangreicher sind als die erste Sammlung – über 600 GB gross sollen diese insgesamt sein. Wie das deutsche Hasso-Plattner-Institut mitteilte, kursieren durch diese Leaks nun rund 2,2 Milliarden Mail-Adressen mit den dazugehörigen Passwörtern im Internet.

Userinnen und User sollten deshalb prüfen, ob auch ihre Log-in-Daten ins Netz gelangt und dort mehr oder weniger frei auffindbar sind. Dafür gibt es mehrere Tools und Dienste, die Antworten liefern. Einen Abfrage-Dienst betreibt beispielsweise der Sicherheitsforscher Troy Hunt mit «Have I been pwned?». Auf der Website wird die E-Mail-Adresse eingegeben, danach durchforstet der Dienst automatisch die Datenbank nach entsprechenden Leaks. Diese umfasst mittlerweile knapp 6,5 Milliarden Datensätze.

Der Abfragedienst «Firefox Monitor» von Mozilla greift ebenfalls auf die Datenbank von «Have I been pwned?» zurück. Er arbeitet auch nahezu identisch, unterscheidet sich aber durch ein praktisches Detail: Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mail-Adresse registrieren und bekommt dann sofort Bescheid, falls eigene Daten im Netz auftauchen sollten.

Ebenfalls praktisch für Firefox-Nutzer: Der Browser schlägt Alarm, wenn man auf einer Seite surft, die gehackt worden ist oder auf der es ein Datenleck gab. Unterhalb der Adressleiste öffnet sich dann eine Benachrichtigung, die etwa über den Zeitpunkt und das Ausmass des Angriffs oder des Lecks informiert und zu einer Monitor-Abfrage rät.

Eine weitere Abfragemöglichkeit bietet das Potsdamer Hasso-Plattner-Institut (HPI) an. Um den Identity Leak Checker nutzen zu können, muss die eigene E-Mail-Adresse angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte. Die Sammlung des HPI-Dienstes ist etwas grösser als jene von Troy Hunt und umfasst mittlerweile über 8 Milliarden geleakte Nutzerkonten. Der Dienst Breach Alarm arbeitet ebenfalls mit E-Mail-Adressen. Die ad-hoc-Abfrage sowie der Monitor-Dienst mit einer Mail-Adresse sind gratis.

Gibt es bei einem der Dienste einen Treffer, sollte das Passwort umgehend geändert und nicht weiterverwendet werden. Achtung: Die Tatsache, dass ein Passwort nicht in dieser oder einer der anderen Datenbanken steht, bedeutet nicht, dass es sicher ist. Onlinekonten sollten deshalb grundsätzlich nicht nur mit starken, sondern auch mit individuellen Passwörtern und möglichst einer Zwei-Faktor-Authentifizierung geschützt werden. Besonders wichtig ist ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken. Passwortmanager leisten daher gute Dienste, um sicherere Passwörter zu erstellen und anschliessend in einem sicheren «Tresor» zu verwalten. Eine Übersicht über die besten Passwortmanager haben wir Ihnen hier zusammengestellt.