Datensammlungen, bestehend aus Nutzernamen, Passwörtern, E-Mail-Adressen und ähnlichen Daten, findet man viele im Netz. Viele dieser Sammlungen sind sehr detailliert, haben zusammenhängende Informationen, sodass sich Angreifer direkt mit Nutzernamen und Passwort in einen fremden Account einloggen können.
Andere Datensätze enthalten nur ein Sammelsurium aus Daten, die dann nach und nach ausprobiert werden müssen. Dank moderner Technik ist auch dies für Angreifer kein Thema mehr, der Computer probiert Kombinationen aus. Schuld ist nicht nur der Dienstleister, der vielleicht einen Angreifer nicht abwehren konnte, sondern auch in gewisser Form der Nutzer.
Viele Nutzer verwenden nämlich einen Account für alles. Also nicht im Sinne: Eine E-Mail-Adresse, sondern auch noch das Passwort. So reicht eine Kombination, um überall reinzukommen. Gerade, wenn mal wieder Berichte von Daten-Leaks die Runde machen, dann werden die Leute nervös. Hoffentlich zumindest.
Denn dann stellt man sich die Frage: Wie sauber habe ich wirklich gearbeitet, mich um meine digitale Identität gekümmert? Die Antwort fällt bei vielen traurig aus. Und dann muss man halt ran an die Arbeit. Passwörter ändern. Und das muss man heutzutage sicher nicht nur bei 5-10 Diensten machen, sondern eher bei 20-30, wenn man Glück hat. Ich habe lange Jahre auch selbst ausgedachte Passwörter genutzt. Eigentlich Humbug. Heute kenne ich meine Passwörter selber aus dem Kopf gar nicht.
Kurzer Anriss, wie ich es gemacht habe seinerzeit: Alle Passwörter möglichst umfangreich generieren lassen, macht mittlerweile jeder Passwort-Manager. Geändert werden muss von Hand, es sei denn, man nutzt Dashlane, der kann bei einigen Diensten automatisiert ändern.
Da wo möglich, setze ich auf 2-Faktor-Authentisierung. Die notwendigen Codes generieren eine Vielzahl Apps, sogar Passwort-Manager wie 1Password. Das kann man so schon bequem regeln. Passwort-Manager wie 1Password, Enpass oder auch Firefox Monitor bieten zudem eine Integration von Have i been pwned, zeigen also an, ob Nutzername oder Passwort kompromittiert ist.
Doch auch KeePass und Derivate sind sehr beliebt, da für viele ausreichend und eben kostenlos. In der Grundversion bietet KeePass eine Verwaltung an, das war es dann aber auch. Was viele Nutzer nicht auf dem Schirm haben: Es gibt ein paar Plugins, die es erlauben, KeePass mit der Schnittstelle zu Have i been pwned zu verheiraten, sodass Nutzer schnell sehen können, ob ihre Logins kompromittiert sind.
Da die meisten unserer Leser, die auf KeePass setzen, sicherlich mit dem Programm vertraut sind, spare ich mir hier das ganz große Erklären, sondern weise lediglich auf mir bekannte Plugins hin, beispielsweise keepass2-haveibeenpwned (neben HIBP Offline Check). Das entsprechende Plugin für KeePass 2.x kann man hier herunterladen und über das Menü in den KeePass-Plugin-Ordner befördern. Nach einem Neustart des Passwort-Managers ist es dann aktiv. Hier einmal flott in Bildform:
KeePass starten, aus dem Menü Extras den Plugin-Ordner suchen / öffnen und dorthin das Plugin kopieren (nützlich für die, die nicht wissen, wo sie diesen Ordner haben).
Danach KeePass neustarten und das Plugin sollte direkt aktiv sein. Zu erkennen ist das Ganze, wenn man einen oder mehrere Einträge aus KeePass markiert und per Rechtsklick das Menü aufruft. Hier kann man dann die gewünschten Einträge gegenchecken lassen.
Ein entsprechender Hinweis erscheint am Ende der Prüfung – und dann wisst ihr, inwiefern ihr aktiv werden müsst.
Das Problem ist natürlich: Das ist wahrscheinlich für Otto-Normal-Nutzer nicht gut gelöst, wenn er sich schon zur Nutzung eines Passwort-Managers durchgerungen hat. Schön wäre es, wenn solche Möglichkeiten einfach (optional) im Programm enthalten wären. Denn etwas aus einer Dritt-Quelle zu installieren, ist nicht jedermanns Sache. Open Source bedeutet eben nicht zwingend, dass dauernd einer draufschaut und es sicher ist.