Die Westfalenpost vom Mi.10.04.24 hat mit der Überschrift Milliarden Passwörter im Internet gelandet über eine Datei rockyou2024.txt mit fast 10 Milliarden geknackten Passwörtern berichtet.
Kann ich betroffen sein?
Kann ich das prüfen?
Was soll ich tun?
Kann ich betroffen sein?
Ja!
Das ist nicht die erste kriminelle Passwortliste. Auf der Seite www.cybernews.com/password-leak-check wird dargestellt, dass dort 33 Milliarden „exposed“, also ungeschützte, Passwörter bekannt seien. Es gibt weltweit etwas 5 Milliarden Internetnutzende, also sind durchschnittlich 6 Passwörter pro Nutzer:in ungeschützt.
In den Berichten über die Passwortdatei steht nicht, dass es eine Zuordnung von Passwort und Benutzerkonto gibt. Aber durch einen „Brute-Force-Angriff“ können Passwörter einer Liste durchprobiert werden. Das kostet nur Zeit und Rechnerleistung. Kriminelle haben das.
Kann ich das prüfen?
Die genannte Passwortliste soll komprimiert 45 GB und ausgepackt 145 GB haben. Außerdem sei sie – für normale PC-Benutzer – kaum lesbar. Also: Selbst herunterladen und nachschauen geht nicht.
Die von der WP empfohlene Website www.cybernews.com/password-leak-check erscheint seriös und wird von der Firma „Adtech IT, UAB“ in Litauen betrieben. Die eingegebenen Passwörter werden nicht direkt geprüft, sondern durch einen Hash-Wert, eine Art Verschlüsselung. Ich habe dort eines meiner ehemaligen Passwörter getestet und schnell die Antwort bekommen: „Nicht betroffen“. Passwörter wie 123456 werden sofort rot gemeldet.
Es gibt weitere, teilweise kostenlose Dienste aus Deutschland, die seriös erscheinen. Aber: Ob Sie Ihre Passwörter von einer externen Instanz im Internet prüfen lassen wollen, ist Ihnen überlassen.
Was soll ich tun?
Wenn Sie ein Passwort wie „12345678“ oder „asdfghjk“ oder das selbe Passwort für unterschiedliche Benutzerkonten verwenden, sollten Sie reagieren. Insbesondere, wenn die diese Konten Geld betreffen, also Online-Banking, Online-Shopping, Kreditkarten und ähnliches.
Qualifizierte Antworten zu den Fragen:
– Was soll ich tun? – Was soll ich nicht tun? –
gibt das Bundesamt für Sicherheit in der Informationstechnik unter der Adresse www.bsi.bund.de.
Man kann im Internet die Suche „bsi.bund.de passwort“ machen und bekommt über 1000 Treffer. Meine Empfehlung ist ein Einstieg über die Seiten:
- Sichere Passwörter erstellen
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html - Merkblatt BSI Basisschutz: Sichere Passwörter
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/sichere_passwoerter_faktenblatt.pdf?__blob=publicationFile&v=4#download=1 - Online-Accounts mit dem Passwort-Merkblatt schützen
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Projekt-Accountschutz/passwort-merkblatt-befragung.html - Das sichere Passwort-Merkblatt
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/studie-accountschutz-passwort-merkblatt.pdf?__blob=publicationFile&v=4
Lesen Sie auch meinen Beitrag „Passwort für E-Mail“