23,8 Millionen Passwörter auf Abwegen

Der Dienst pwnedlist will helfen, Passwörter sicherer zu machen (Foto: Screenshot)

Es vergeht kaum ein Monat, in dem nicht das Knacken einer Passwort-Datenbank Schlagzeilen macht. Dabei stehlen Angreifer genau die Datei auf einem Server, in der alle Benutzernamen, E-Mail-Adressen und die zugehörigen Passwörter gespeichert sind. Ein Webdienst hilft, leichter herauszufinden, ob die eigenen Zugangsdaten dabei sind.

Im Juli kopierten Hacker von D33Ds.Co bei Yahoo! fast eine halbe Million Passwörter und machten sie in der Datei yahoo-disclosure.txt online öffentlich verfügbar. Die Datei enthielt alle Passwörter im Klartext und der Download-Andrang war so groß, dass der Server unter der Last zusammenbrach und sich die Diebe einen neuen Webhoster suchen mussten. Was aber nicht verhindern konnte, dass die Liste in Umlauf blieb. Denn solche anfangs nur schwer zu bekommenden Dateien werden schnell in Tauschbörsen eingespeist und können dann effektiv verteilt und problemlos heruntergeladen werden.

Listen gehackter Passwörter sind begehrt. Besonders, weil ihre Informationen einen ersten Angriffsspunkt für Amateurhacker bilden. Sie brauchen nur einige der vielen hunderttausend Zugangsdaten auszuprobieren, schon sind sie irgendwo “drin”, einen kleinen Adrenalin-Kick bietet das allemal. Profis suchen hingegen gezielt nach Zugangsdaten, die auf Firmen-Identitäten verweisen.

Oft genug erfährt der betroffene Dienst vom Passwortdiebstahl und fordert seine User wie im Fall Yahoo! in großem Maßstab auf, ein neues Passwort einzurichten. Wer das macht, ist scheinbar in Sicherheit. Aber eben nur scheinbar, denn viele Nutzer verwenden auf verschiedenen Websites ein- und dasselbe Passwort. Zur Änderung werden sie aber nur beim gehackten Dienst aufgefordert – das heißt, die im Netz kursierenden Listen sind – zu einem gewissen Prozentsatz – weiterhin nützlich.

Millionen von Passwörtern geknackt

Das zeigt sich beim Webdienst pwned list. Der ist nach eigenen Angaben im Besitz von mehr als 23 Millionen Passwörtern. Immerhin sammelt man die Kennwörter nur für den guten Zweck: Jeder kann mit der Website überprüfen, ob seine Zugangsdaten irgendwo geleakt wurden. Denn präziser gesagt speichert das von US-Sicherheitsexperten gegründete Projekt nicht die Passwörter, sondern die damit verknüpften Mail-Adressen. Gibt man seine E-Mail-Adresse ein, informiert die Datenbank darüber, ob die Adresse (und damit die dazu passenden Kennwörter) schon irgendwo auftauchten. Ist das der Fall, wird es höchste Zeit, alle Passphrasen zu ändern, bei denen diese geprüfte Mail-Adresse verwendet wird.

pwnedlist.com wertet dazu weitgehend automatisch über 200 Quellen aus, zum Beispiel Pastebin-Server, über die häufig Passwortlisten ausgetauscht werden. Über 50.000 User nutzen den Dienst inzwischen monatlich, um sich mal eben selbst zu überprüfen. Praktisch: Man kann sich kostenlos dauerhaft anmelden. Dann warnt der Dienst automatisch, sobald die Zugangsdaten der dabei registrierten Mail-Adresse irgendwo auftauchen. Unternehmen können außerdem einen kostenpflichtigen Dienst in Anspruch nehmen, der alle Konten einer Domain überprüft und gegebenenfalls Alarm schlägt.

Passwort-Unsicherheit, Schadensbegrenzung

Ein Blick in typische Passwortdateien zeigt, dass viele Nutzer viel zu simple Passwörter verwenden. Doch gegen Datendiebstahl hilft auch das komplizierteste Kennwort nichts: Die Passwörter müssen nun mal auf dem Server gespeichert werden. Geschieht das im Klartext, haben Angreifer leichtes Spiel. Nur wenn die Daten mit einer kryptografischen Funktion in Form sogenannter Hashes auf dem Server gespeichert werden, sind die Passwörter sicher. Und auch nur dann, wenn die Hash-Funktion sauber und sicher programmiert ist. Was erschreckend oft eben nicht der Fall ist.

Anders gesagt: User können den Passwortklau nicht verhindern. Aber sie können bei einem Passwort-Hack den entstehenden Schaden auf jeweils ein Konto eingrenzen:

• Verwenden Sie ein- und dasselbe Passwort niemals bei zwei Diensten gleichzeitig. Verwenden Sie also jedes Passwort nur ein einziges Mal.
• Meiden Sie allzu einfache Passwort-Schemata wie sesam99gmx bei GMX und sesam99yahoo bei Yahoo! und so weiter. Fallen einem Angreifer zwei Ihrer Passwörter in die Hand, kann er sich den Rest denken.
• Ändern Sie regelmäßig wichtige Passwörter, auch wenn dazu kein Grund besteht. Hintergrund ist, dass ein Angreifer nicht immer ein erbeutetes Passwort sofort nutzt, um das Opfer auszusperren. Statt dessen lohnt es sich für den Angreifer, eine Zeit lang Mails mitzulesen, um weitere Informationen zu sammeln oder weitere Passwörter zur erbeuten. Eine Passwortänderung sperrt ihn aus.

Verwenden Sie außerdem Passwörter mit mehr als 12 Buchstaben, Ziffern und Sonderzeichen, denn möglichste lange Passwörter helfen auch weiterhin gegen andere typische Angriffe auf Zugangskonten.

(Das ZDF ist für den Inhalt externer Internetseiten nicht verantwortlich)