Passwortsicherheit mithilfe geleakter Daten erhöhen

Ob Banken, Mail-Provider oder andere Online-Dienstleister: Die Verantwortung für den sicheren Umgang mit Zugangsdaten haben die Anbieter bisher großteils ihren Kunden auferlegt. Regeln zu sicheren Passwörtern sind bei jeder Registrierung oder beim Passwortwechsel allgegenwärtig und nerven die Anwender, sollen den Account aber zumindest vor Brute-Force-Angriffen schützen. Oft warnen die Anbieter auch davor, identische Passwörter auf verschiedenen Systemen zu nutzen. Anderenfalls könnten Angreifer direkt weitere Zugänge übernehmen. Denn dank der Leaks werden insbesondere Nutzer, die Passwörter wiederverwenden, zu leichten Opfern. Credential Stuffing, die Nutzung bekannter Logins eines Leaks auf anderen Webseiten, ist im Einzelfall kaum zu erkennen und führt erst bei massenhaftem Einsatz zur Sperrung derjenigen IP-Adressen, von denen aus zu viele Login-Versuche stattfinden.

Sowohl der Sicherheitsforscher Troy Hunt als auch das Hasso-Plattner-Institut verfügen inzwischen über mehr einzelne Datensätze aus Leaks, als es Menschen auf der Erde gibt [1]. Die Zahl der Datensätze steigt weiter und sie beschränken sich nicht auf Nutzernamen und Passwörter, sondern enthalten darüber hinaus häufig Angaben zur Person oder Informationen über Kreditkarten oder Bankverbind­ungen.