Passwörter: Trotz zahlreicher Datenlecks gibt es weiterhin die Mehrfachnutzung durch Anwender
Passwörter sind der Schlüssel zur Nutzung vieler Dienste, sie sichern aber teilweise auch jede Menge privater Informationen ab. Aus diesem Grund wird immer wieder gepredigt, dass man sichere Passwörter verwenden soll und für den Fall eines Datendiebstahls auch auf verschiedene Passwörter setzen sollte. Beide Punkte werden nicht immer beachtet. So ist „123456“ immer noch das beliebteste Passwort, aber auch bei der Nutzung unterschiedlicher Passwörter gibt es Nachholbedarf, wie eine Studie des Hasso-Plattner-Instituts nun herausgefunden hat. Untersucht wurden 1 Milliarde Nutzerkonten, die durch diverse Datenlecks frei auffindbar sind.
68,5 Millionen E-Mail-Adressen tauchten in mehreren Datenlecks auf, was wiederum die Aussage zu mehrfach verwendeten Passwörtern ermöglicht. In 20 Prozent der Fälle wurde das gleiche Passwort für mehrere Accounts verwendet. Hinsichtlich der häufiger und umfangreicher werdenden Datenlecks ist dies eine sehr hohe Quote, riskiert der Nutzer so nicht nur die Veröffentlichung eines Accounts, sondern gleich mehrerer.
Dass das Risiko bei kleinen oder großen Anbietern größer wäre, kann man nicht sagen. Wir sehen ständig wieder Dienste, die es erwischt hat, dieses Jahr machte Yahoo beispielsweise von sich reden. Aber auch bei kleineren Anbietern kommen Daten abhanden, teilweise sogar Daten, die eigentlich gar nicht mehr gespeichert sein sollten.
Insofern sollte jeder einzelne Nutzer sich bewusst sein, was er da „im Internet“ mit einem Passwort absichert. Kann oder möchte man sich keine komplizierten Passwörter merken, hilft vielleicht der Griff zu einem Passwortmanager. Und man sollte aus Bequemlichkeit eben nicht für jeden Dienst dasselbe Passwort nutzen. Ist es bei einem Dienst weg, wird für Angreifer auch die Tür zu anderen Diensten geöffnet, das kann man nicht wollen. Eine zusätzliche Absicherung bietet hier 2-Faktor-Authentifizierung, wenn sie von den einzelnen Diensten angeboten wird.
Wer überprüfen möchte, ob in Zusammenhang mit der eigenen E-Mail-Adresse bereits Daten im Umlauf sind, kann dies über den Leak Checker des Hasso-Plattner-Instituts herausfinden. So erfuhr ich beispielsweise, dass mein Passwort von Tumblr und von Dropbox abgegriffen wurden (lange her, längst geändert), andere Daten aber nicht im Umlauf sind. Das ist ganz interessant, man bekommt ja nicht zwingend von jedem Datendiebstahl mit, so kann man das einfach überprüfen. Ihr gebt einfach Eure E-Mail-Adresse an und erhaltet dann eine E-Mail mit der Auswertung.
Ich nutze seit Jahren Passwortmanager (Keepass -> SafeInCloud -> Enpass), und rate jedem den ich kenne dazu. Was viele hier nicht verstehen, Otto-Normalos sind selbst mit so etwas überfordert.
– Sie kennen keine Passwort Manager
– Sie kosten Geld
– Keepass kostet nichts, ist aber für Otto-Normalos unübersichtlich (und hässlich)
– Sie legen sich eine lokale Datenbank auf dem Handy an, Handy kaputt, Datenbank weg
– Sie sichern ihre Datenbank in der Cloud, vergessen jedoch das Cloud Passwort, welches sie sogut wie nie benötigen –> Datenbank beim Handywechsel o.ä. wieder weg
– …
– …
Die Liste lässt sich noch weiter ergänzen…
Ich weiß, alles keine Ausrede, aber für viele ist es echt „harte“ Arbeit sich sowas mal anzulegen und damit zurechtzukommen. Selbst bei mir auf der Arbeit (großer IT-Dienstleister) sind einige überfordert damit. Dort wird von der Firma aus KeePass eingesetzt und als Backup kann man die Datenbank auf einem internem Server ablegen… Aber nee… Zum heulen.
Hallo und Danke für das Aufgreifen des Themas.
Same thing here.
Privat nutze ich Keepass. Ich finde das gut, dass es dass auch für Linux gibt. Nach der Umstellung auf Linux einfach die Datei geöffnet und alles war vorhanden.
Von cloudbasierten Passwortmanagern halte ich persönlich nicht wirklich viel.
Keepass erscheint mir recht sicher und auch in der Firma setzen wir das mittlerweile ein.
Außerdem kann ich Shunator nur beipflichten. Immer wenn es im Freundeskreis PC-Probleme gibt oder ich denen zeigen soll, wie man das neue Smartphone bedient…
Egal.
Es ist immer dasselbe Thema. „Was? dafür brauche ich ein Passwort?“ „Ich habe da da doch nie eines vergeben“ Und dann geht die Probiererei und die Sucherei im Schreibtischkasten nach den losen Zetteln los.
Ein Passwortmanager ist vielen zu kompliziert. „Die schreibe ich mir lieber auf, da kann sie mir auch Keiner stehlen.“
Ja, nee is klar, ne?
Was ich nicht verstehe. Man kann sich doch ein Zettel Programm oder eine Text Datei erstellen und die Passwörter da reinschreiben.
Zb Cuecards ist da Ideal. Klein, Kostenlos
http://www.mhst.net/cuecards2/
Oder wer dafür zu faul ist Keepass oder ein ähnliches wo sogar die Felder Automatisch oder auf Tastendruck ausfüllt werden.
Als müsste man sich heute wirklich alles Merken? Quasi jeder browser Speicher auch Passwörter.
Irgendwie verhalten Sich viele Menschen wie die letzten unterhosen?
Wobei ich mir wünschen würde, die Seiten Betreiber würden mehr Informieren wenn dann Daten abhanden kommen. Oft merkt man es nur wenn der Spam mehr wird. Das irgendwo mal wieder Daten abhanden gekommen sind.
Also ich habe überall komplexe und immer andere Passwörter ohne System. Und muss mir keines merken.
@janina
Das sollte deutlich unsicherer sein als du denkst. Und dazu auch noch relativ kompliziert.
Bei mir ist ein Leak von Patreon aus 2015 dabei, einschließlich Passwort. Interessanterweise hatte Patreon damals eine Mail dazu versendet, in der sie darüber informiert haben, aber behauptet haben, die Passwörter seien nicht betroffen.