Ohne Passwörter ist ein Online-Leben 2022 nahezu unmöglich. Ob für den E-Mail-Account, das Online-Banking oder diverse Online-Shops, ein Login ist in der Regel nur mit der Eingabe eines Kennworts möglich. Damit Fremde nicht auf eure Kosten einkaufen oder eure Identität stehlen, solltet ihr ein sicheres Kennwort aussuchen. Im Netz gibt es einige Dienste, wo ihr ein Passwort testen könnt und überprüft, ob es schon irgendwo gestohlen wurde.
Immer wieder gelangen Kennwörter in fremde Hände, wenn zum Beispiel Hacker Datenbanken von Webseiten knacken. Für solche Fälle gibt es im Internet Seiten, auf denen ihr feststellen könnt, ob eure Login-Daten schon einmal von solch einem Datendiebstahl betroffen waren.
- 1.Passwort testen: Wie sicher ist mein Kennwort?
- 2.Darauf solltet ihr achten
- 3.Passwort Check: Wurde meine Login-Daten geklaut?
- 4.Diese Website verrät, ob eure Online-Konten gehackt werden könnten
- 5.Have I Been Pwned? Die einfache Suche nach der eigenen Adresse in einem Meer von Milliarden Nutzern
- 6.Mehr als nur geleakte E-Mail-Adressen
Passwort testen: Wie sicher ist mein Kennwort?
Wo lässt sich ein Passwort seriös testen? Wollt ihr überprüfen, ob ihr euch ein sicheres Kennwort ausgedacht habt, steuert die Seite checkdeinpasswort.de an.
Hier müsst ihr euch nicht anmelden und könnt auf der Startseite direkt das Eingabefeld nutzen. Gebt beliebige Buchstaben-, Zeichen- und Zahlenkombinationen ein. In Echtzeit wird angezeigt, wie sicher das Passwort ist. Stimmt etwas nicht, gibt es Tipps, wie ihr das Kennwort noch sicherer gestalten könnt. So weist euch das Tool darauf hin, dass eure Eingabe zu kurz ist oder ihr zu wenig verschiedene Zeichensorten genutzt habt. Zudem seht ihr, wie lange es ungefähr dauern würde, das Passwort mit einem Computer zu knacken.
Im Video bekommt ihr Tipps, wie ein sicheres Kennwort aussehen könnte:
Die Seitenbetreiber versichern, dass eure Eingaben nicht gespeichert werden. Zudem gibt es gleichzeitig den Hinweis, keine richtigen Passwörter einzugeben.
Darauf solltet ihr achten
Wenn ihr auf der Suche nach einem sicheren Kennwort seid, solltet ihr es nicht wahllos auf ähnlichen Seiten im Netz eingeben, um es auf die Sicherheit zu testen. Besonders wenn ihr in sozialen Medien oder über andere Links auf solche Seiten gelangt, könnten sich hierhinter Betrüger verstecken, die so einfach Passwörter per Phishing stehlen wollen. Eine alternative Seite, auf der man ein Passwort testen kann, ist „wiesicheristmeinpasswort.de“. Das Angebot ist optisch etwas schlichter. Ihr bekommt aber auch hier wertvolle Informationen zu euren Angaben.
Passwort Check: Wurde meine Login-Daten geklaut?
Daneben solltet ihr überprüfen, ob euer Passwort schon einmal Teil eines Hacks war und von Datendieben gestohlen wurde. Das Bundesamt für Informationstechnik („BSI“) empfiehlt hierfür den Dienst „haveibeenpwned“.
Gebt auf der Seite eine E-Mail-Adresse ein, die ihr für Logins bei Diensten im Netz benutzt. Nachdem ihr auf den Button „pwned?“ gedrückt habt, seht ihr, ob Passwörter, die zu der E-Mail-Adresse gehören, in der Vergangenheit abgegriffen worden sind.
Ist das der Fall, solltet ihr alle Kennwörter ändern. Der Dienst gibt an, auf welcher Seite die Daten gehackt wurden. So könnt ihr also leicht ermitteln, welches Kennwort im Umlauf ist. Besonders schnell solltet ihr es ändern, wenn ihr ein Kennwort für mehrere Dienste nutzt. Aus diesem Grund solltet ihr zukünftig verschiedene Passwörter nutzen. Um sich nicht Hunderte von Login-Daten zu merken, hilft euch ein Passwort-Manager.
Diese Website verrät, ob eure Online-Konten gehackt werden könnten
„Have I Been Pwned?“, frei übersetzt „Bin ich von Datenklau betroffen?“, ist seit 2013 eine Anlaufstelle im Internet für alle, die wissen wollen, wo die eigenen Daten frei im Netz herumschwirren. Man gibt einfach die eigene E-Mail-Adresse ein und erfährt sofort, in welchen Datenlecks diese auftaucht. Betroffen ist fast jede Adresse, oft sogar mehrfach.
Das Problem: Viele Nutzerinnen und Nutzer verwenden auch heute noch dasselbe Passwort in Kombination mit derselben E-Mail-Adresse über mehrere Webseiten hinweg. Dieser Leichtsinn sorgt schnell dafür, dass sich Cyber-Ganoven Zugriff auf Online-Banking, E-Mail-Konten oder andere wichtige Dienste verschaffen können.
Der Sicherheitsexperte Troy Hunt startete daher im Dezember 2013, nach einem — für damalige Verhältnisse — gigantischen Datenleck bei Adobe, von dem mehr als 153 Millionen Accounts betroffen waren, die Seite „Have I Been Pwned?“ (abgekürzt auch als HIBP bekannt). Schon damals boten verschiedene Webseiten die Möglichkeit an, nach der eigenen E-Mail-Adresse zu suchen. Eine zentrale Anlaufstelle, die viele verschiedene Leaks zusammenfasst, gab es aber nicht. Darüber hinaus konnten sich Benutzer sich nicht einfach darüber informieren lassen, wenn ihre E-Mail-Adresse irgendwo in einem Leak enthalten war. Dies wollte Hunt ändern.
Have I Been Pwned? Die einfache Suche nach der eigenen Adresse in einem Meer von Milliarden Nutzern
Was vor Jahren mit rund 154 Millionen betroffenen E-Mail-Adressen den Anfang nahm, hat sich seitdem deutlich verschlimmert. Zum aktuellen Zeitpunkt zählt die Seite 11 Milliarden betroffene Accounts. Das sind natürlich nicht alle Vorfälle, die es je gab, aber es dürften zumindest viele bekannte und aktuelle Hacks berücksichtigt sein. Absolute Sicherheit kann auch dieser Dienst nicht bieten, denn was nicht bekannt ist, kann nicht eingetragen werden.
Beim Besuch der Seite kann in das Suchfeld einfach eure oder eine andere beliebige E-Mail-Adresse eingegeben werden, woraufhin man innerhalb weniger Sekunden darüber informiert wird, ob die angegebene Adresse in einem Leak enthalten ist. Dies hilft dann etwa dabei, sich zu einer Passwortänderung bei den betroffenen Diensten zu entschließen.
Außerdem geben die Resultate einen Einblick darauf, wie weit es die ausgewählte Adresse im Internet „geschafft hat“. Die Leaks kommen nämlich nicht nur von Online-Diensten wie Dropbox, Adobe oder MySpace, sondern auch von Mailling- oder Spam-Listen. Da auch dies einen Eingriff in den Datenschutz darstellt, sind diese Quellen in den gezeigten Informationen mit enthalten.
Mehr als nur geleakte E-Mail-Adressen
Hatte sich Hunt einst auf den Abgleich von E-Mail-Adressen spezialisiert, wurde die Seite im August 2017 durch eine weitere hilfreiche Suchfunktion erweitert. So bietet der Dienst seitdem auch eine Suche in einer anonymisierten Liste geleakter Passwörter an. Dies geschah als Reaktion auf eine Empfehlung des National Institute of Standards and Technology in den USA, kurz NIST.
Darin heißt es, dass bei der Verifikation von Passwörtern auch überprüft werden soll, ob das ausgewählte Kennwort eines Nutzers bereits in einem Datenleck enthalten war. Genau diese Schnittstelle bietet Hunt seitdem an und wird etwa vom Passwort-Manager 1Password angezapft.
Hier bietet das Watchtower genannte Feature nicht nur eine Übersicht über Dienste, bei denen man schnellstmöglich sein Passwort ändern sollte, sondern eben auch eine Liste der Accounts mit einem schwachen Passwort. Wie das funktioniert, ohne dass die persönlichen Informationen den eigenen Computer verlassen müssen, erklären die Entwickler von 1Password in einem Blog-Post.
Außerdem liefert HaveIBeenPwned.com die Möglichkeit, zu überprüfen, ob die eigene Telefonnummer beim kürzlich entdeckten großen Facebook-Leak dabei ist. Hunt hatte zuvor öffentlich gefragt, ob die Nutzerinnen und Nutzer das Feature implementiert sehen wollten, denn Telefonnummern sind noch sensibler als E-Mail-Adressen, deren Eingabe setzt Vertrauen in den Betreiber voraus. Nach poitivem Feedback integrierte er die Funktion kurzerhand – trotz technischer Herausforderungen.
Generell solltet ihr Online-Accounts per Zwei-Faktor-Authentifizierung sichern. Dabei muss man neben der E-Mail-Adresse und dem Passwort den Login noch zusätzlich freigeben, etwa durch einen Einmal-Code per SMS oder eine Authenticator-App.