Collection #2 - #5: Milliarden gestohlene Passwörter

Erneut ist eine riesige Menge gehackter Nutzeraccounts ins Netz gelangt: Nach der Passwort-Sammlung "Collection #1" kursieren nun auch die Sammlungen: Collections #2 bis #5.

Diese sind deutlich umfangreicher als Teil 1 (ca. 770 Millionen), einer ersten Einschätzung von heise Security zufolge sind sie insgesamt über 600 GByte groß. Nach Angaben des Hasso-Plattner-Institus kursieren durch die Collections #1 bis #5 nun rund 2,2 Milliarden Mail-Adressen und die dazugehörigen Passwörter.

Die Daten sind offenbar nicht komplett neu, sondern stammen zu einem einem Großteil aus älteren Leaks. Dennoch dürfte durch die Zusammenstellung und erneute Veröffentlichung die Wahrscheinlichkeit steigern, dass die Zugansdaten von Cyber-Ganoven ausprobiert werden.

Wer überprüfen möchte, ob sich die eigenen Mail-Adressen unter den Daten befinden, kann den Identity Leak Checker des Hasso-Plattner-Institus nutzen. Dort wurden die neuen Collections bereits eingepflegt. Nach Eingabe der Mail-Adresse verschickt der Dienst an ebendiese Adresse eine Mail mit einer Auflistung der Funde, von denen man betroffen ist. Man erfährt zudem detailliert, welche Datenarten betroffen sind – also, ob sich neben Mail-Adesse und Passwort auch persönliche Daten wie Vor- und Zuname, Geburtsdatum, Anschrift oder Bankkontodaten unter den gefundenen Daten befinden.

Weitere Möglichkeiten für Überprüfungen bieten z.B. folgende Internetseiten: "Have I been pwned", "Pwned Passwords", "Firefox Monitor", "https://www.experte.de/email-check"

Die aktuellen Passwortfunde sind ein guter Anlass, die eigenen Passwort-Strategien zu überdenken. Die wichtigste Regel ist, für jeden Dienst ein anderes Passwort einzusetzen. Und wer sich nicht für jeden Dienst ein Passwort ausdenken möchte oder merken kann, setzt am besten einen Passwort-Manager ein. Weitere Tipps zu sicheren Passwörtern, der Absicherung von Online-Diensten und vielem mehr finden Sie in einschlägigen Artikeln im Internet.

Wichtig ist hier zu erwähnen, dass mit Passwort in diesem Zusammenhang nicht unbedingt das Passwort zum E-Mail-Account gemeint ist. Viel häufiger ist der Fall, dass ein Cloud-, Shopping- oder sonstiger Dienst die Zugangsdaten seiner Nutzer nicht schützen konnte, und die bestehen aus der E-Mail-Adresse und dem für den jeweiligen Dienst gewählten Passwort. Trotzdem empfiehlt das HPI, das Passwort sowohl des betroffenen E-Mail-Accounts selbst zu ändern als auch die Passwörter aller anderen Accounts, bei denen man mit der Adresse angemeldet ist.

Text: Alfred Gertz (z.T. aus unterschiedlichen online-Medien)
Redaktion Mettenhof.de