Passwörter: Trotz zahlreicher Datenlecks gibt es weiterhin die Mehrfachnutzung durch Anwender

Passwort Manager Password SafePasswörter sind der Schlüssel zur Nutzung vieler Dienste, sie sichern aber teilweise auch jede Menge privater Informationen ab. Aus diesem Grund wird immer wieder gepredigt, dass man sichere Passwörter verwenden soll und für den Fall eines Datendiebstahls auch auf verschiedene Passwörter setzen sollte. Beide Punkte werden nicht immer beachtet. So ist „123456“ immer noch das beliebteste Passwort, aber auch bei der Nutzung unterschiedlicher Passwörter gibt es Nachholbedarf, wie eine Studie des Hasso-Plattner-Instituts nun herausgefunden hat. Untersucht wurden 1 Milliarde Nutzerkonten, die durch diverse Datenlecks frei auffindbar sind.

68,5 Millionen E-Mail-Adressen tauchten in mehreren Datenlecks auf, was wiederum die Aussage zu mehrfach verwendeten Passwörtern ermöglicht. In 20 Prozent der Fälle wurde das gleiche Passwort für mehrere Accounts verwendet. Hinsichtlich der häufiger und umfangreicher werdenden Datenlecks ist dies eine sehr hohe Quote, riskiert der Nutzer so nicht nur die Veröffentlichung eines Accounts, sondern gleich mehrerer.

Dass das Risiko bei kleinen oder großen Anbietern größer wäre, kann man nicht sagen. Wir sehen ständig wieder Dienste, die es erwischt hat, dieses Jahr machte Yahoo beispielsweise von sich reden. Aber auch bei kleineren Anbietern kommen Daten abhanden, teilweise sogar Daten, die eigentlich gar nicht mehr gespeichert sein sollten.

Insofern sollte jeder einzelne Nutzer sich bewusst sein, was er da „im Internet“ mit einem Passwort absichert. Kann oder möchte man sich keine komplizierten Passwörter merken, hilft vielleicht der Griff zu einem Passwortmanager. Und man sollte aus Bequemlichkeit eben nicht für jeden Dienst dasselbe Passwort nutzen. Ist es bei einem Dienst weg, wird für Angreifer auch die Tür zu anderen Diensten geöffnet, das kann man nicht wollen. Eine zusätzliche Absicherung bietet hier 2-Faktor-Authentifizierung, wenn sie von den einzelnen Diensten angeboten wird.

Wer überprüfen möchte, ob in Zusammenhang mit der eigenen E-Mail-Adresse bereits Daten im Umlauf sind, kann dies über den Leak Checker des Hasso-Plattner-Instituts herausfinden. So erfuhr ich beispielsweise, dass mein Passwort von Tumblr und von Dropbox abgegriffen wurden (lange her, längst geändert), andere Daten aber nicht im Umlauf sind. Das ist ganz interessant, man bekommt ja nicht zwingend von jedem Datendiebstahl mit, so kann man das einfach überprüfen. Ihr gebt einfach Eure E-Mail-Adresse an und erhaltet dann eine E-Mail mit der Auswertung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

25 Kommentare

  1. …die Leute lernen es einfach nicht 🙁

    Enpass (oder was alternatives an PW-Manager), sichere Passwörter generieren und Spaß haben. Ist doch nicht so schwer…

  2. Danke für den Link zum Leack Checker. Das Ding ist recht interessant, Unknown (Exploit.in Compilation) in meinem Fall. Was wurde im August 2016 veröffentlicht? Weiß das jemand zufällig?

  3. Ich benutze schon seit ewigen zeiten keepass. Plattformübergreifend und einfach zu bedienen.

  4. Danke für den Link! Da wurde 2012 bei meinem Dropbox-Account wohl scheinbar auch mal irgendwas abgegriffen… ich setze seit Langem auf mSecure @ iOS & MacOS – mit min. 20-stelligen crazy generierten Passworten.

  5. Carsten Lorenz says:

    Es wäre auch schon, wenn die Webseiten- / Shopbetreiber verstärkt bzw. flächendeckend eine zwei Faktor Authentifizierung anbieten würden.
    Amazon hat dafür gefühlt eine Ewigkeit gebraucht.

  6. „Die von Ihnen eingegebene E-Mail-Adresse wird lediglich zur Suche in unserer Datenbank und das anschließende Versenden einer Benachrichtigungs-E-Mail benutzt. Sie wird von uns in verschleierter Form gespeichert, um Sie vor E-Mail-Spam zu schützen. Die Weitergabe an Dritte ist dabei ausgeschlossen.“

    Möchte gerne mal Wissen wie man die verschleiert speichert !!!
    Auf alle Fälle kann man die „entschleiern“ sonst könnten die ja keine Mail senden. Am besten wäre die gar nicht zu sichern.

  7. Man kann schon sagen, sie habens nicht anders verdient, aber egal ist es mir deswegen nicht, weil ich schon von einigen Leuten Spammails erhalte, dummerweise auf meine Hauptmailaddy. Selbst im Freundeskreis muss man davon abraten diese Adresse anzugeben.

  8. Wobei man Mehrfachnutzung/einfache Passwörter relativieren sollte: Ich benutze für unzählige Seiten ein primitives, einfach zu merkendes und einfach einzutippendes Passwort: Überall da, wo man sich lästigerweise einloggen muss um zu posten, etwas zu downloaden etc.

    Diese ‚Accounts‘ sind für mich absolut unwichtig, d.h. manchmal nutzt man die eh nur einmal und nie wieder, da ist mir das völlig egal wenn das Passwort (meinetwegen 1234) geknackt/geleakt wird.

  9. Der übliche Link zu https://haveibeenpwned.com/ wo meiner Erfahrung nach deutlich mehr Daten vorliegen als beim HPI, und wo man sich auch für zukünftige Leaks subscriben kann.

  10. @Schröppke wenn Du SPAM erhältst liegt das an einem schlechten EMail Provider – bei GMail z.B. hast Du fast null spam. EMail Adressen nicht weitergeben ist keine langfristig hilfreiche Strategie.

  11. Ich nutze nur noch einfache und identische Passwörter für Foren. Alles andere habe ich Enpass und seinem Passwortgenerator übergeben.

  12. Alexander Mauß says:

    @Frank Köhntopp: Danke für den Tipp. Direkt genutzt und subscribed…

  13. naja der fingerabdruck wird auf lange sicht das passwort ja auch nicht ersetzen können.

  14. Sparbrötchen says:

    @pietz
    > naja der fingerabdruck wird auf lange sicht das passwort ja auch nicht ersetzen können.
    Korrekt, er kann das Paßwort nie ersetzen. Ein biometrisches Merkmal sollte/darf nur zur Identifikation nicht aber zur Authentifikation verwendet werden.
    Wie will man eine einmal mißbräuchlich im Umlauf befindliche Kopie eines Fingerabdrucks „widerrufen“?
    Ein Paßwort kann man bei Bedarf jederzeit ändern, den Finger nur chirurgisch.

  15. Es benutzen ja auch die wenigsten Passwortmanager, wie soll man sich da für jeden Account ein unterschiedliches Passwort merken. Natürlich hat das dann zur Folge, dass überall dasselbe PW verwendet wird.

  16. @info: kann man doch alles regeln, nimm einfach als Passwort: xkcd0815!
    Jetzt nimmt Du jede Seite und fügst dein Passwort hinten dran a la:
    amazonxkcd0815!
    googlexkcd0815!
    das nutzt Du allerdings nicht so, sondern jagst es durch einen Hashgenerator:
    aus „amazonxkcd0815!“ wird dann z.B. „87458c5f43048b3d0628a82b1a8baf0dd437ab7f“
    und aus diesem nimmst Du die ersten oder letzten 8 oder x Zeichen.
    Man muss sich also nur ein Passwort merken. @home einfach die Passwörter von google in Chrome sichern lassen; von woanders einen Hashgenerator bemühen.

  17. haveibeenpwned hat bei mir weniger gefunden als HPI. Bei HPI stand bei mir neben einer weiteren Seite auch noch „Unknown (Exploit.in Compilation)“ – nicht sehr hilfreich. Glücklicherweise eh nur bei einer E-Mail-Adresse, die ich kaum mehr benutze.

    Nutze mittlerweile auch fast nur noch zufallsgenerierte Passwörter und lagere die im Passwortmanager; nur habe ich mich dann eine Zeit lang geärgert, wenn ich ein langes Passwort mit Zahlen, Buchstaben und Sonderzeichen dann beim FireTV eintippen darf.

    @Pferdenarr: „Nur ein Passwort merken“? Dann wäre man unterwegs aber ohne Hashgenerator auch aufgeschmissen. Und jemand, der es nicht so mit Technik hat, würde sowieso direkt sagen „ist mir zu kompliziert, ich nehme lieber schatzi123“.

  18. @Pferdenarr: Guter Idee!

  19. erst vor zwei Tagen sämtliche Passwörter mit Enpass generiert und geändert. Alle 20 Zeichen lang (bis auch ein paar wo ich mich doch wundere, dass manche Seiten max 16 Zeichen unterstützen) und das mit dem Rezept 5, 5, 5, 5. Dabei direkt mal zig Seiten aussortiert und den Account gelöscht. Was man nicht alles für nen Mist findet

  20. Pferdenarr: Genau so mache ich es seit ein paar Jahren. Domain + kurzes Passwort in SHA-256 (Handy ist immer dabei, Generatorapp ist drauf), davon die ersten 16 Zeichen, wenn Großbuchstabe nötig, dann einfach der erste, der kommt. Ich muß keine Passwortmanager nutzen, kann nie ein Passwort vergessen.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.