Berlin (dpa/tmn) – Was in den Untiefen des Internets an kompromittierten Log-in-Daten für Konten und Dienste zu finden ist, sammelt der australische Sicherheitsforscher Troy Hunt in einer Datenbank.
Nutzerinnen und Nutzer können die sensible Sammlung kostenlos auf der Seite «Have I been pwned?» (Sinngemäß: Hat es mich erwischt?) abfragen, um sich genau diese Frage zu beantworten. Dazu muss man nur eine oder mehrere E-Mail-Adressen, die man als Benutzernamen für Konten nutzt, zur Abfrage eingeben.
Viele neue Identitätsdaten aufgenommen
Selbst für alle, die die Seite kennen und schon einmal genutzt haben, gilt: Ein regelmäßiger Besuch lohnt sich. Erst jüngst hat Hunt wieder einen neuen, 104 Gigabyte schweren Datensatz mit mehr als 70 Millionen E-Mail-Adressen zur Datenbank hinzugefügt.
Und auch wenn es Überschneidungen in den Datenbeständen geben wird, lohnt es sich, parallel ein weiteres kostenloses Abfrage-Angebot zu nutzen: den Identity Leak Checker des Hasso-Plattner-Instituts (HPI). Auch der Checker baut auf einer Datenbank auf, die zahllose bloßgestellte Identitätsdaten enthält.
Ergeben die Abfragen auf einer der Seiten Treffer, gilt es, das verbrannte Passwort beim jeweiligen Dienst schnell durch ein neues, sicheres Passwort zu ersetzen.
Ein Passwort für alles ist viel zu riskant
Wichtig: Es muss ein individuelles Passwort für jeden Dienst sein. Dasselbe Passwort für viele oder gar alle Dienste zu verwenden, ist riskant. Denn damit haben Angreifer leichtes Spiel und können viele oder alle Konten im Handstreich übernehmen.
Weil sich niemand Dutzende komplizierte Passwörter merken kann, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von Passwortmanagern. Alternativ dazu kann man auch mithilfe eines Passwortmerkblatts sicherer im Netz unterwegs sein – die Methode dahinter erläutert das BSI auf seiner Website.
Doppelt hält und schützt besser
Zudem sollte man bei Online-Diensten die Zwei-Faktor-Authentisierung (2FA) aktivieren, wo immer sie verfügbar ist. Denn dank einem zweiten Code, der beim Log-in abgefragt wird, kommen Angreifer selbst dann nicht ins jeweilige Konto, wenn sie das Passwort erbeutet haben sollten.