Passwörter: Trotz zahlreicher Datenlecks gibt es weiterhin die Mehrfachnutzung durch Anwender

Passwort Manager Password SafePasswörter sind der Schlüssel zur Nutzung vieler Dienste, sie sichern aber teilweise auch jede Menge privater Informationen ab. Aus diesem Grund wird immer wieder gepredigt, dass man sichere Passwörter verwenden soll und für den Fall eines Datendiebstahls auch auf verschiedene Passwörter setzen sollte. Beide Punkte werden nicht immer beachtet. So ist „123456“ immer noch das beliebteste Passwort, aber auch bei der Nutzung unterschiedlicher Passwörter gibt es Nachholbedarf, wie eine Studie des Hasso-Plattner-Instituts nun herausgefunden hat. Untersucht wurden 1 Milliarde Nutzerkonten, die durch diverse Datenlecks frei auffindbar sind.

68,5 Millionen E-Mail-Adressen tauchten in mehreren Datenlecks auf, was wiederum die Aussage zu mehrfach verwendeten Passwörtern ermöglicht. In 20 Prozent der Fälle wurde das gleiche Passwort für mehrere Accounts verwendet. Hinsichtlich der häufiger und umfangreicher werdenden Datenlecks ist dies eine sehr hohe Quote, riskiert der Nutzer so nicht nur die Veröffentlichung eines Accounts, sondern gleich mehrerer.

Dass das Risiko bei kleinen oder großen Anbietern größer wäre, kann man nicht sagen. Wir sehen ständig wieder Dienste, die es erwischt hat, dieses Jahr machte Yahoo beispielsweise von sich reden. Aber auch bei kleineren Anbietern kommen Daten abhanden, teilweise sogar Daten, die eigentlich gar nicht mehr gespeichert sein sollten.

Insofern sollte jeder einzelne Nutzer sich bewusst sein, was er da „im Internet“ mit einem Passwort absichert. Kann oder möchte man sich keine komplizierten Passwörter merken, hilft vielleicht der Griff zu einem Passwortmanager. Und man sollte aus Bequemlichkeit eben nicht für jeden Dienst dasselbe Passwort nutzen. Ist es bei einem Dienst weg, wird für Angreifer auch die Tür zu anderen Diensten geöffnet, das kann man nicht wollen. Eine zusätzliche Absicherung bietet hier 2-Faktor-Authentifizierung, wenn sie von den einzelnen Diensten angeboten wird.

Wer überprüfen möchte, ob in Zusammenhang mit der eigenen E-Mail-Adresse bereits Daten im Umlauf sind, kann dies über den Leak Checker des Hasso-Plattner-Instituts herausfinden. So erfuhr ich beispielsweise, dass mein Passwort von Tumblr und von Dropbox abgegriffen wurden (lange her, längst geändert), andere Daten aber nicht im Umlauf sind. Das ist ganz interessant, man bekommt ja nicht zwingend von jedem Datendiebstahl mit, so kann man das einfach überprüfen. Ihr gebt einfach Eure E-Mail-Adresse an und erhaltet dann eine E-Mail mit der Auswertung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

25 Kommentare

  1. …die Leute lernen es einfach nicht 🙁

    Enpass (oder was alternatives an PW-Manager), sichere Passwörter generieren und Spaß haben. Ist doch nicht so schwer…

  2. Danke für den Link zum Leack Checker. Das Ding ist recht interessant, Unknown (Exploit.in Compilation) in meinem Fall. Was wurde im August 2016 veröffentlicht? Weiß das jemand zufällig?

  3. Ich benutze schon seit ewigen zeiten keepass. Plattformübergreifend und einfach zu bedienen.

  4. Danke für den Link! Da wurde 2012 bei meinem Dropbox-Account wohl scheinbar auch mal irgendwas abgegriffen… ich setze seit Langem auf mSecure @ iOS & MacOS – mit min. 20-stelligen crazy generierten Passworten.

  5. Carsten Lorenz says:

    Es wäre auch schon, wenn die Webseiten- / Shopbetreiber verstärkt bzw. flächendeckend eine zwei Faktor Authentifizierung anbieten würden.
    Amazon hat dafür gefühlt eine Ewigkeit gebraucht.

  6. „Die von Ihnen eingegebene E-Mail-Adresse wird lediglich zur Suche in unserer Datenbank und das anschließende Versenden einer Benachrichtigungs-E-Mail benutzt. Sie wird von uns in verschleierter Form gespeichert, um Sie vor E-Mail-Spam zu schützen. Die Weitergabe an Dritte ist dabei ausgeschlossen.“

    Möchte gerne mal Wissen wie man die verschleiert speichert !!!
    Auf alle Fälle kann man die „entschleiern“ sonst könnten die ja keine Mail senden. Am besten wäre die gar nicht zu sichern.

  7. Man kann schon sagen, sie habens nicht anders verdient, aber egal ist es mir deswegen nicht, weil ich schon von einigen Leuten Spammails erhalte, dummerweise auf meine Hauptmailaddy. Selbst im Freundeskreis muss man davon abraten diese Adresse anzugeben.

  8. Wobei man Mehrfachnutzung/einfache Passwörter relativieren sollte: Ich benutze für unzählige Seiten ein primitives, einfach zu merkendes und einfach einzutippendes Passwort: Überall da, wo man sich lästigerweise einloggen muss um zu posten, etwas zu downloaden etc.

    Diese ‚Accounts‘ sind für mich absolut unwichtig, d.h. manchmal nutzt man die eh nur einmal und nie wieder, da ist mir das völlig egal wenn das Passwort (meinetwegen 1234) geknackt/geleakt wird.

  9. Der übliche Link zu https://haveibeenpwned.com/ wo meiner Erfahrung nach deutlich mehr Daten vorliegen als beim HPI, und wo man sich auch für zukünftige Leaks subscriben kann.

  10. @Schröppke wenn Du SPAM erhältst liegt das an einem schlechten EMail Provider – bei GMail z.B. hast Du fast null spam. EMail Adressen nicht weitergeben ist keine langfristig hilfreiche Strategie.

  11. Ich nutze nur noch einfache und identische Passwörter für Foren. Alles andere habe ich Enpass und seinem Passwortgenerator übergeben.

  12. Alexander Mauß says:

    @Frank Köhntopp: Danke für den Tipp. Direkt genutzt und subscribed…

  13. naja der fingerabdruck wird auf lange sicht das passwort ja auch nicht ersetzen können.

  14. Sparbrötchen says:

    @pietz
    > naja der fingerabdruck wird auf lange sicht das passwort ja auch nicht ersetzen können.
    Korrekt, er kann das Paßwort nie ersetzen. Ein biometrisches Merkmal sollte/darf nur zur Identifikation nicht aber zur Authentifikation verwendet werden.
    Wie will man eine einmal mißbräuchlich im Umlauf befindliche Kopie eines Fingerabdrucks „widerrufen“?
    Ein Paßwort kann man bei Bedarf jederzeit ändern, den Finger nur chirurgisch.

  15. Es benutzen ja auch die wenigsten Passwortmanager, wie soll man sich da für jeden Account ein unterschiedliches Passwort merken. Natürlich hat das dann zur Folge, dass überall dasselbe PW verwendet wird.

  16. @info: kann man doch alles regeln, nimm einfach als Passwort: xkcd0815!
    Jetzt nimmt Du jede Seite und fügst dein Passwort hinten dran a la:
    amazonxkcd0815!
    googlexkcd0815!
    das nutzt Du allerdings nicht so, sondern jagst es durch einen Hashgenerator:
    aus „amazonxkcd0815!“ wird dann z.B. „87458c5f43048b3d0628a82b1a8baf0dd437ab7f“
    und aus diesem nimmst Du die ersten oder letzten 8 oder x Zeichen.
    Man muss sich also nur ein Passwort merken. @home einfach die Passwörter von google in Chrome sichern lassen; von woanders einen Hashgenerator bemühen.

  17. haveibeenpwned hat bei mir weniger gefunden als HPI. Bei HPI stand bei mir neben einer weiteren Seite auch noch „Unknown (Exploit.in Compilation)“ – nicht sehr hilfreich. Glücklicherweise eh nur bei einer E-Mail-Adresse, die ich kaum mehr benutze.

    Nutze mittlerweile auch fast nur noch zufallsgenerierte Passwörter und lagere die im Passwortmanager; nur habe ich mich dann eine Zeit lang geärgert, wenn ich ein langes Passwort mit Zahlen, Buchstaben und Sonderzeichen dann beim FireTV eintippen darf.

    @Pferdenarr: „Nur ein Passwort merken“? Dann wäre man unterwegs aber ohne Hashgenerator auch aufgeschmissen. Und jemand, der es nicht so mit Technik hat, würde sowieso direkt sagen „ist mir zu kompliziert, ich nehme lieber schatzi123“.

  18. @Pferdenarr: Guter Idee!

  19. erst vor zwei Tagen sämtliche Passwörter mit Enpass generiert und geändert. Alle 20 Zeichen lang (bis auch ein paar wo ich mich doch wundere, dass manche Seiten max 16 Zeichen unterstützen) und das mit dem Rezept 5, 5, 5, 5. Dabei direkt mal zig Seiten aussortiert und den Account gelöscht. Was man nicht alles für nen Mist findet

  20. Pferdenarr: Genau so mache ich es seit ein paar Jahren. Domain + kurzes Passwort in SHA-256 (Handy ist immer dabei, Generatorapp ist drauf), davon die ersten 16 Zeichen, wenn Großbuchstabe nötig, dann einfach der erste, der kommt. Ich muß keine Passwortmanager nutzen, kann nie ein Passwort vergessen.

  21. Ich nutze seit Jahren Passwortmanager (Keepass -> SafeInCloud -> Enpass), und rate jedem den ich kenne dazu. Was viele hier nicht verstehen, Otto-Normalos sind selbst mit so etwas überfordert.
    – Sie kennen keine Passwort Manager
    – Sie kosten Geld
    – Keepass kostet nichts, ist aber für Otto-Normalos unübersichtlich (und hässlich)
    – Sie legen sich eine lokale Datenbank auf dem Handy an, Handy kaputt, Datenbank weg
    – Sie sichern ihre Datenbank in der Cloud, vergessen jedoch das Cloud Passwort, welches sie sogut wie nie benötigen –> Datenbank beim Handywechsel o.ä. wieder weg
    – …
    – …

    Die Liste lässt sich noch weiter ergänzen…
    Ich weiß, alles keine Ausrede, aber für viele ist es echt „harte“ Arbeit sich sowas mal anzulegen und damit zurechtzukommen. Selbst bei mir auf der Arbeit (großer IT-Dienstleister) sind einige überfordert damit. Dort wird von der Firma aus KeePass eingesetzt und als Backup kann man die Datenbank auf einem internem Server ablegen… Aber nee… Zum heulen.

  22. Hallo und Danke für das Aufgreifen des Themas.

    Same thing here.
    Privat nutze ich Keepass. Ich finde das gut, dass es dass auch für Linux gibt. Nach der Umstellung auf Linux einfach die Datei geöffnet und alles war vorhanden.
    Von cloudbasierten Passwortmanagern halte ich persönlich nicht wirklich viel.

    Keepass erscheint mir recht sicher und auch in der Firma setzen wir das mittlerweile ein.

    Außerdem kann ich Shunator nur beipflichten. Immer wenn es im Freundeskreis PC-Probleme gibt oder ich denen zeigen soll, wie man das neue Smartphone bedient…
    Egal.

    Es ist immer dasselbe Thema. „Was? dafür brauche ich ein Passwort?“ „Ich habe da da doch nie eines vergeben“ Und dann geht die Probiererei und die Sucherei im Schreibtischkasten nach den losen Zetteln los.

    Ein Passwortmanager ist vielen zu kompliziert. „Die schreibe ich mir lieber auf, da kann sie mir auch Keiner stehlen.“
    Ja, nee is klar, ne?

  23. Was ich nicht verstehe. Man kann sich doch ein Zettel Programm oder eine Text Datei erstellen und die Passwörter da reinschreiben.

    Zb Cuecards ist da Ideal. Klein, Kostenlos
    http://www.mhst.net/cuecards2/

    Oder wer dafür zu faul ist Keepass oder ein ähnliches wo sogar die Felder Automatisch oder auf Tastendruck ausfüllt werden.

    Als müsste man sich heute wirklich alles Merken? Quasi jeder browser Speicher auch Passwörter.

    Irgendwie verhalten Sich viele Menschen wie die letzten unterhosen?

    Wobei ich mir wünschen würde, die Seiten Betreiber würden mehr Informieren wenn dann Daten abhanden kommen. Oft merkt man es nur wenn der Spam mehr wird. Das irgendwo mal wieder Daten abhanden gekommen sind.

    Also ich habe überall komplexe und immer andere Passwörter ohne System. Und muss mir keines merken.

  24. @janina
    Das sollte deutlich unsicherer sein als du denkst. Und dazu auch noch relativ kompliziert.

  25. Bei mir ist ein Leak von Patreon aus 2015 dabei, einschließlich Passwort. Interessanterweise hatte Patreon damals eine Mail dazu versendet, in der sie darüber informiert haben, aber behauptet haben, die Passwörter seien nicht betroffen.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.