Sind meine Login-Daten geknackt?
Für viele ist es ein Schreckensszenario.
Man hat sich ein „sicheres“ Kennwort ausgedacht, das man sich auch merken kann. Seine Login-Daten nutzt man letztlich aber nicht nur einmal, sondern auf vielen Seiten oder Online-Shops.
Doch plötzlich stellt man fest, dass Bestellungen ausgelöst werden, die man gar nicht selbst beauftragt hat.
Mir passiert sowas nicht!
Denkste.
In meinem Fall teilte mir Google mit, dass es einen Login-Versuch aus Uruguay gegeben hätte. Und das auf einer Mailadresse, die ich meines Wissens nach nie selbst angelegt hatte. (Kurzzeitgedächtnis lässt grüßen)
Letztlich war meine aktuelle Mailadresse aber als Backup hinterlegt, sodass ich eben diese Benachrichtigung von Google erhielt.
Eingeloggt, fix das Passwort geändert und fertig.
Stunden später..
Ich erhielt eine neue Mail – von Steam. Aufgrund meiner Zwei-Faktor-Authentifizierung wurde ein Login-Versuch aus Russland erfolgreich verhindert.
Was passieren kann, wenn das Steam-Konto mit Spielen im Wert mehrerer hundert Euro gekapert wurde, ist sicherlich vielen leidvoll bekannt.
Passwortlisten
Im Nachgang stieß ich auf einige Seiten, mit denen man checken kann, ob die Mailadresse, der Nickname samt Passwort bereits im Netz in sogenannten Passwortlisten aufzufinden ist. Diese werden in der Regel über Sicherheitslücken in Online-Shops oder größeren Dienstleistern (Yahoo-Hack) erlangt und auf dem Schmarzmarkt (aka Darknet) verkauft.
Ein paar Dienstleister haben diese Liste ebenfalls erhalten und stellen diese allerdings für gute Zwecke zur Verfügung. Mit diesen könnt ihr nachschauen, ob euere E-Mailadresse oder euer Nickname mit bestimmten Daten bereits „öffentlich bekannt“ und daher stark gefährdet ist.
Hier einmal eine Auswahl, die ihr nach eurem gut Dünken befragen könnt:
- BSI Sicherheitstest
- Identity Leak Checker (Hasso-Plattner-Institut)
- BreachAlarm
- Have I Been Pwned? (Troy Hunt)
Ein guter Rat zum Schluss
In der Regel benutzt man Passwörter nicht nur einmal sondern viele Male. Ich möchte euch meine Vorgehensweise zeigen, vielleicht hilft sie euch ja weiter.
Benutzernamen
Ich wähle heutzutage keine Nicknames mehr, die mit mir in Verbindung gebracht werden können. Mit Hilfe einer Fernsehserie, Songtiteln oder ähnlichem kommt man schnell auf Namen wie LinkinPark0815.
E-Mail-Adressen
Ich nutze für verschiedene Zwecke verschiedene E-Mail-Adressen. So habe ich bei meinem E-Mail-Anbieter verschiedene Alias-Adressen angelegt (Beispiel: Outlook.com) Beispielsweise eine Mailadresse für Shops, eine für Spiele etc. pp.
Sollte eine Adresse öffentlich werden, sind die anderen nicht betroffen. Dank verschiedener Nicknames, kann auch niemand Rückschlüsse ziehen.
Passwörter
Ich kenne nur noch wenige meiner Passwörter auswendig. Den Großteil übernimmt ein Passwortmanager für mich – in meinem Fall Lastpass.
Wichtig ist: Nutzt zur Absicherung eures Passwortmanagers (es gibt unzählig viele) ein sicheres Passwort, das niemand sonst kennt & ihr auch sonst nirgends benutzt.
Fazit
Mit dynamischen Benutzernamen, Passwortmanager und Zwei-Faktor-Authentifizierung seid ihr auf der sichereren Seite – und müsst nach einem Passwort-Hack nicht darum bangen, dass durch einen Passwort-Hack direkt alle anderen Accounts missbraucht werden.