Gigantischer Passwort-Leak: Was ihr jetzt tun solltet
Ein gigantischer Passwort-Leak sorgt derzeit für Aufsehen. Rund 10 Milliarden Passwörter sind in dem File rockyou2024.txt gelistet, das seit wenigen Tagen im Netz kursiert. Die Daten sind dabei allerdings nicht brandneu. Stattdessen handelt es sich um eine Sammlung verschiedenster Leaks der vergangenen Jahre von unterschiedlichen Diensten.
Da es auch immer wieder große und populäre Dienste gegeben hat, bei denen Passwörter abgegriffen wurden (Stichwort MSspace, Twitter oder Dropbox), ist die Chance, dass man in dem File mit einem Account vorkommt, relativ hoch.
➤ Mehr lesen: 10 Milliarden gestohlene Passwörter aufgetaucht
Auch wenn es sich um teilweise alte Daten handelt. Die Zusammenstellung stellt für manche Nutzerinnen und Nutzer durchaus eine Gefahr dar. Cyberkriminelle haben durch das File simplen Zugang zu vielleicht der größten Passwort-Datenbanken aller Zeiten und könnten auf Basis dessen versuchen, Accounts zu knacken.
Die Veröffentlichung ist jedenfalls ein guter Zeitpunkt, seine Cybersicherheitspraktiken zu überdenken und Schwachstellen auszubügeln, um es Angreifern möglichst schwer zu machen. Mit ein paar Schritten kann man sich im Falle derartiger Leaks effizient schützen.
Unsere Tipps im Überblick, um auch trotz des Mega-Leaks sicher zu bleiben. Man sollte:
- Mehrfach genutzte Passwörter ändern
- Passwortmanager verwenden
- Zweifaktorauthentifizierung aktivieren
- Frühere Leaks überprüfen
Und hier die Tipps im Detail:
Mehrfach genutzte Passwörter ändern
Es ist etwas, das man grundsätzlich nicht machen soll, angesichts des Mega-Leaks ist es aber aktueller denn je: Passwörter dürfen niemals für mehrere Accounts gleichzeitig verwendet werden.
Der Grund dafür liegt auf der Hand: Gibt es bei einem Dienst einen Passwort-Leak, können Angreifer mit diesen Informationen auch auf alle anderen Services Zugriff erlangen, die dieselbe Nutzernamen-Passwort-Kombination aufweisen. Allerspätestens jetzt sollte man doppelt genutzte Passwörter ausmerzen.
Passwortmanager verwenden
Damit man nicht den Überblick über all die verschiedenen Passphrasen verliert, helfen Passwortmanager aus. Die Auswahl jener ist groß. Man hat die Wahl zwischen kostenpflichtigen und kostenlosen oder auch Closed- oder Open-Source-Angeboten:
➤ Mehr lesen: Mit diesen Passwortmanagern behältst du deine Konten im Griff
Natürlich sollte auch der Passwortmanager selbst gut abgesichert sein. Ein starkes Master-Passwort sowie Zweifaktorauthentifizierung oder die Verwendung von Passkeys sind hier Pflicht.
Zweifaktorauthentifizierung aktivieren
Apropos Zweifaktorauthentifizierung. Wird jene bei einem Dienst angeboten, sollte man sie unbedingt nutzen. In der Regel sind diese Accounts auch dann geschützt, wenn das Passwort den Angreiferinnen oder Angreifer bekannt ist. Der zweite Faktor kann entweder eine Authenticator-App am Smartphone, ein SMS oder ein E-Mail sein. Egal, für welche Art man sich entscheidet, man macht seine Konten auf jeden Fall sicherer damit.
Wenn die Verwendung von Passkeys angeboten wird, kann man auch damit sein Konto absichern. Sie bieten in der Regel einen besseren Schutz als jedes Passwort.
➤ Mehr lesen: Warum sind Passkeys sicherer als jedes Passwort?
Frühere Leaks überprüfen
Da der rockyou-Leak lediglich eine Zusammenstellung früherer Leaks ist, lohnt es sich, einen Blick auf jene zu werfen. Möglich ist das etwa auf der Webseite haveibeenpwned.com. Dort kann man anhand seiner E-Mail-Adresse kontrollieren, ob eines der eigenen Konten in der Vergangenheit von einem Datendiebstahl betroffen war. Taucht ein Konto in der Abfrage auf, sollte man das damals verwendete Passwort unter keinen Umständen irgendwo mehr verwenden.