Jemand hat das bislang größte Passwortleak der Geschichte online gestellt

Ein Leck wird bekanntlich schlimmer, je mehr ausläuft. Das gilt auch für Leaks von Benutzernamen, Passwörtern oder E-Mail-Adressen. Die bislang größte und damit schlimmste Datensammlung hat jetzt Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned entdeckt. Die "Collection #1" genannte Sammlung enthält nach Hunts Analyse 772.904.991 einzigartige E-Mail-Adressen, 21.222.975 individuelle Passwörter und noch einmal mehr als eine Milliarde einzigartiger E-Mail-Passwort-Kombinationen.

Ob eure Daten auch betroffen sind, könnt ihr direkt auf Have I Been Pwned checken. Dort gebt ihr eure E-Mail-Adressen ein und könnt dann sehen, ob sie in der aktuellen oder einer früheren Datensammlung enthalten sind. Umgekehrt könnt ihr auf Pwned Passwords auch herausfinden, welche Passwörter genau betroffen sind. Die Abfrage ist nach Angaben den Seitenbetreibers sicher, da euer tatsächliches Passwort dabei nicht übermittelt wird, wie wir in diesem Artikel erklärt haben. Tipps, wie ihr euch und eure Accounts in wenigen Schritten schützen könnt, erfahrt ihr weiter unten.

Wie extrem groß die aktuelle Sammlung ist, zeigt ein Vergleich mit früheren Hacks und Passwort-Leaks. Eine schicke Übersicht dazu findet ihr zum Beispiel auf der Website Information is Beautiful. So enthielt etwa der gestohlene Datensatz der Marriott-Hotelkette aus dem vergangenen Jahr "nur" Daten von 500 Millionen Gästen. Der Angriff auf den Finanzdienstleister Equifax im Jahr 2017 betraf "nur" 143 Millionen Kunden.

Es gibt aber einen wichtigen Unterschied zwischen der "Collection #1" und den genannten Datensätzen: Im Fall von Marriott und Equifax stammen die Daten aus einzelnen Datenbanken. Die "Collection #1" dagegen scheint nach ersten Analysen die Beute verschiedener Hacks der vergangenen Jahre zu enthalten.

Der Sicherheitsforscher entdeckte die Sammlung nach Hinweisen vergangene Woche auf dem Filehoster MEGA, nachdem entsprechende Links in einem Hacker-Forum geteilt wurden. Sie bestand aus 12.000 einzelnen Dateien und hatte eine Größe von 87 Gigabyte. In einem Forumsbeitrag war von "2000+ Datenbanken" die Rede, die mutmaßlich in der Sammlung enthalten sein sollen.

Troy Hunt schließt aber nicht aus, dass darin auch bislang unveröffentlichte Daten zu finden sind. Nachdem er nämlich die E-Mails und Passwörter der "Collection #1" mit bestehenden Einträgen in seiner Datenbank Have I Been Pwned abglich, blieben noch rund 140 Millionen E-Mails und ungefähr 10 Millionen Passwörter, die ihm bislang unbekannt waren.

Nach Einschätzung Hunts sei die Sammlung vor allem dazu gedacht, sogenanntes "credential stuffing" zu betreiben. Dabei versuchen Hacker massenhaft Accounts zu knacken, indem sie die E-Mail-Passwort-Kombinationen aus Datenleaks automatisch bei verschiedenen Websites und Onlinediensten ausprobieren. Die berechtigte Hoffnung der Angreifer: Viele Menschen nutzen die gleichen Kombinationen bei verschiedenen Diensten, und wer einmal die Login-Daten hat, könnte damit noch weitere Accounts der gleichen Person kapern.

Was könnt ihr tun, wenn laut Have I Been Pwned eure E-Mail-Adresse in dem aktuellen oder einem früheren Datenleak enthalten ist? Der erste Schritt: Überlegt, für welche Dienste, Foren oder Websites ihr diese Adresse verwendet. Überall dort solltet ihr schleunigst euer Passwort ändern. Verwendet aber nicht überall das gleiche, auch nicht in leicht abgeänderter Form: Denn Hacker brauchen nicht lange, um von "schlechtespasswort" auf "1schlechtespasswort2019" zu kommen. Weil sich sichere Passwörter und Passphrasen nicht immer einfach merken lassen, empfiehlt sich die Verwendung eines Passwort-Managers, der alle Passwörter mit einem – sicheren! – Master-Passwort und im besten Fall Zwei-Faktor-Authentifizierung speichert.

Auch bei Motherboard: Wie ein Hacker Motorola ihren geheimen Quellcode abschwatzte

Dienste wie Google, Amazon, Steam und viele Banken bieten die Zwei-Faktor-Authentifizierung schon an. Dabei verknüpft ihr euren Account mit einem zweiten Gerät, etwa eurem Smartphone. Immer wenn ihr euch einloggt, müsst ihr zusätzlich zum Passwort noch einen kleinen Code aus einer Smartphone-App oder einer SMS eingeben. Der Vorteil: Selbst wenn Hacker eure E-Mail und euer Passwort kennen, können sie sich nicht einfach einloggen.

Der dritte Schritt lautet: Vorbeugung. Auf vielen Plattformen könnt ihr einfach überprüfen, ob Dritte unbefugten Zugriff hatten. Zum Beispiel könnt ihr bei Facebook auf der "Sicherheit und Login"-Seite sehen, auf welchen Geräten ihr gleichzeitig eingeloggt seid. Diese Sicherheitschecks solltet ihr regelmäßig durchführen. Auch solltet ihr nicht jahrelang eure alten Passwörter behalten, selbst wenn ihr nicht von einem bekannten Datenleak betroffen seid. Zuletzt solltet ihr noch die "Sicherheitsfragen" überprüfen, denn auch sie sind für Hacker eine Möglichkeit, an Login-Daten zu gelangen. Selbst das sicherste Passwort nützt nichts, wenn die Antwort auf eure Sicherheitsfrage der Name eures Hundes ist, über den ihr ständig auf Instagram sprecht.

Folgt Eike auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter