Schon wieder: 10 Mrd. Passwörter geleakt
Am 4. Juli 2024 wurde eine Datei namens rockyou2024.txt in einem Hackerforum veröffentlicht. Inhalt: knapp 10 Milliarden Passwörter von verschiedenen Servern, die zum Kauf angeboten wurden.
Diese gigantische Zahl zeigt das Ausmaß des Problems mit Passwörtern und unterstreicht die Notwendigkeit, sich intensiv mit dem Thema auseinanderzusetzen.
Die eigentliche Gefahr
Ein gravierendes Problem ist, dass viele Nutzer dieselben Zugangsdaten für verschiedene Dienste verwenden. Das bedeutet, dass ein kompromittiertes Passwort bei einem weniger wichtigen Account potenziell den Zugang zu wichtigen Konten ermöglicht, bei denen vielleicht Kreditkartendaten oder andere sensible Daten hinterlegt sind. Bei den Cyber Security Game Events von Mindcraft erfahren Sie mehr über diese Gefahren.
Wie kommt es zu solchen Leaks?
Wenn massenhaft Passwörter gestohlen werden, dann ist das in der Regel das Ergebnis eines erfolgreichen Hacks von Serverdatenbanken. Fast immer beginnt ein erfolgreicher Hack mit Social Engineering. Das bedeutet, dass eine psychologisch geschulte Person versucht, an Daten anderer Personen zu gelangen, ohne dass diese es merken.
Typisches Beispiel für Social Engineering sind sogenannte Vishing-Anrufe. Dabei gibt der Social Engineer vor, Hilfe zu benötigen, oder er bietet selbst seine Hilfe an. Damit manipuliert der Social Engineer den Angerufenen und bringt ihn dazu, sensible Daten rauszugeben. Erst danach erfolgt mithilfe der erbeuteten Daten der eigentliche, technische Hacker-Angriff auf die Serverdatenbank.
Jeder muss selbst vorbeugen
Keiner von uns kann verhindern, dass ein Server gehackt wird. Aber jeder von uns ist in der Pflicht, so achtsam und sorgfältig wie möglich mit seinen Passwörtern umzugehen. Die wichtigste präventive Maßnahme ist, dass für jedes Benutzerkonto immer einzigartige Zugangsdaten verwendet werden. Sonst sind geleakte Passwörter ein unkalkulierbares Risiko und Worst-Case-Szenario.
Was ist jetzt zu tun?
Prüfen Sie regelmäßig, ob Ihre E-Mail-Adressen bei Passwort-Leaks gelistet sind. Dafür gibt es spezielle kostenlose Online-Dienste, die bekannte Leaks scannen und das Ergebnis der Suche sofort anzeigen, wie z. B. https://haveibeenpwned.com/
Wenn Sie von einem Leak betroffen sind, sollten Sie sofort handeln:
1) Ändern Sie das Passwort des betroffenen Dienstes umgehend.
2) Wenn Sie dasselbe Passwort bei anderen Diensten nutzen, dann ändern Sie es auch dort.
Schützen Sie Ihre Daten proaktiv!
Die schlechte Nachricht: Sie müssen für jedes Benutzerkonto ein einzigartiges, langes und komplexes Passwort verwenden, um Ihre Daten bestmöglich zu schützen. Das Problem: keiner kann sich so viele derartige Passwörter merken.
Die gute Nachricht: Sie müssen sich das nicht merken. Diesen Job erledigen Passwort-Manager. Das sind einfach zu bedienende Programme für das Generieren, Speichern und Organisieren von Passwörtern und anderen persönlichen Daten.
Schützen Sie Ihre Zugänge außerdem mit einer 2-Faktor-Authentifizierung. Wenn aktiviert, dann wird zusätzlich zu den Zugangsdaten (Benutzername und Passwort) eine weitere Information benötigt, z. B. ein generierter Einmal-Code, oder ein biometrisches Merkmal wie Fingerabdruck oder Gesichtsscan.
Noch sicherer ist es, wenn Sie sogenannte Passkeys nutzen. Das sind digitale Schlüssel, die ausschließlich auf dem eigenen Gerät gespeichert sind. Sie ersetzen Passwörter – das bedeutet, dass es keine Passwörter mehr gibt, die geklaut werden können. Mehr dazu lesen Sie in diesem Blogartikel über Passkeys von Mindcraft Academy.
Fazit
Es gibt keinen 100-prozentigen Schutz gegen Passwortdiebstahl. Doch durch den verantwortungsvollen Umgang mit Passwörtern und die Nutzung moderner Sicherheitsmechanismen können Sie das Risiko erheblich minimieren. Und im besten Fall nutzen Sie gar keine Passwörter mehr, sondern nur noch Passkeys – damit sind Sie auf der aktuell sichersten Seite.