29.01.2021
Mit Datenbank-Checks
Verbrannten Passwörtern auf der Spur
Autor: dpa
Patrick Pleul / dpa-Zentralbild / dpa-tmn
Im Netz werden zahllose E-Mail-Adressen und Passwörter gehandelt, die aus Datenlecks stammen oder bei Angriffen erbeutet worden sind. Ob eigene Zugangsdaten dabei sind, sollte man unbedingt wissen.
"Zutritt für Unbefugte verboten": Wenn sich Hacker doch einfach daran halten würden. Tun sie aber nicht. Fallen ihnen Zugangsdaten für Internetdienste in die Hände, setzten sie diese auch ein oder verkaufen sie - oft zum Nachteil der Opfer.
Betroffene eines Identitätsdiebstahls müssen oft etwa auf einmal für Bestellungen gerade stehen, die Unbekannte in ihrem Namen aufgegeben haben. Der Schaden ist aber längst nicht immer nur finanzieller Natur. Wenn Fremde Zugang zu privaten Daten oder Fotos haben, die bei einem Onlinespeicherdienst liegen, kann das extrem belastend sein.
Um im Fall der Fälle nicht so eiskalt erwischt zu werden, sollten Nutzerinnen und Nutzer regelmäßig prüfen, ob nicht vielleicht schon Log-in-Daten für einen oder mehrere ihrer Accounts durchs Netz geistern. Das ist mit der einfachen Abfrage von Datenbanken möglich, in die Sicherheitsforscher nach Hackerangriffen oder Datenlecks kompromittierte Zugangsdaten einpflegen.
Neuer "Leak Checker"
Ein ganz neues Angebot ist etwa der "Leak Checker" der Universität Bonn. Wie bei den Leak-Datenbanken üblich, gibt man die E-Mail-Adresse oder die E-Mail-Adressen, die man als Benutzername für Internetkonten- und -dienste nutzt, auf der jeweiligen Internetseite ein. Postwendend kommt dann per Mail die Benachrichtigung, ob und welche Accounts von einem Passwortklau betroffen sind - inklusive eines Fragments des jeweiligen Passwortes.
Es schadet nicht, turnusmäßig mehrere Datenbanken abzufragen. Schließlich kann es sein, dass die einen Sicherheitsforscher Datensätze haben, die die anderen nicht haben und umgekehrt. Schon länger existiert etwa die "Pwned"-Datenbankabfrage des IT-Sicherheitsforschers Troy Hunt.
Auch Mozillas Leak-Abfragedienst "Firefox Monitor" greift auf Hunts "Pwned"-Datenbank zurück, arbeitet nahezu identisch, unterscheidet sich aber durch ein praktisches Detail: Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mailadresse registrieren und bekommt dann sofort Bescheid, falls eigene Identitätsdaten im Netz auftauchen sollten.
Auch Telefonnummern oder Geburtsdaten
Ebenfalls schon mit einer Abfragemöglichkeit namens "Identity Leak Checker" dabei ist das Potsdamer Hasso-Plattner-Institut (HPI). Auch hier müssen E-Mail-Adressen angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.
Gibt es bei einem der Dienste einen Treffer, sollte das verbrannte Passwort geändert und nicht weiter verwendet werden - es sei denn man kennt den Leak bereits oder seine Entdeckung liegt schon sehr lange zurück und man ist sich sicher, das Passwort zwischenzeitlich ohnehin längst geändert zu haben.
Die Tatsache, dass ein Passwort in keiner der Datenbanken steht, bedeutet übrigens keinesfalls zwangsläufig, dass es grundsätzlich sicher ist. Ausführliche Informationen zum Erstellen starker, sicherer Passwörter kann man etwa beim Bundesamt für Sicherheit in der Informationstechnik (BSI) nachlesen. Ergänzend rät die Behörde zudem zum Aktivieren einer Zwei-Faktor-Authentifizierung (2FA), wo immer sie angeboten wird.
Stark und einzigartig
Da Hacker für einen Dienst erbeutete Anmeldedaten mit sehr hoher Wahrscheinlichkeit auch gleich bei mehreren anderen populären Seiten ausprobieren, gilt zudem: Passwörter sollten nicht nur stark, sondern auch für jeden einzelnen Einsatzzweck individuell sein - auch und vor allem da, wo keine 2FA-Absicherung angeboten wird. Als Hilfsmittel zum Merken verschiedener starker Passwörter rät das BSI zu Merksätzen und vor allem zu Passwortmanagern.
Besonders wichtig ist generell ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken.
GigaTV Home Sound
Vodafone bringt eine TV-Box mit integrierten Lautsprechern
Bisher gab es bei Vodafone getrennte TV-Boxen für Kabel- und IPTV-Kunden. Die neue Generation von GigaTV bietet beide Zugänge, dazu kommt eine Version mit integrierten Lautsprechern.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
MagentaTV One
Die Telekom erneuert ihre TV-Box
Die Telekom bringt die zweite Generation ihrer Box für das Streaming: Die MagentaTV One bietet mehr Leistung und eine überarbeitete Fernbedienung.
>>
Übersetzungshilfen
Cleverer Dolmetscher - so hilft das Web beim Übersetzen
Mit Deutsch allein bleibt der grösste Teil des Internets unverständlich. Glücklicherweise gibt es in jedem Browser Übersetzungswerkzeuge. Wir zeigen Ihnen, wie Sie in Firefox, Chrome und Safari Websites einfach übersetzen.
>>