Google: Hunderttausende kompromittierte Login-Daten in Gebrauch
Die Warnung des Google-Plug-ins ist eindeutig, dennoch hören auf sie nur wenige Nutzer.
Viele der im Internet verwendeten Kombinationen aus Nutzernamen und Passwort sind bereits öffentlich bekannt und kompromittiert. Das stellte Google mithilfe seines Browsers Chrome fest und veröffentlichte die Ergebnisse in einer Studie. Analysiert wurden die Login-Daten von 650.000 Nutzerinnen und Nutzern. Innerhalb des ersten Monats kamen so 21 Millionen Login-Daten zusammen. Davon stufte Google rund 316.000 als unsicher ein, also rund 1,5 Prozent.
Ermittelt hat Google die Statistikdaten mithilfe des hauseigenen Chrome-Plug-ins Password Checkup. Das Tool gleicht in Echtzeit alle im Browser eingegebenen Passwörter in Kombination mit dem Nutzernamen mit einer Datenbank ab. Die Datenbank besteht aus 4 Milliarden Login-Daten, die aus Datenpannen und Hacks bekannt sind. Nutzt man ein kompromittiertes Login, gibt Password Checkup eine Warnung heraus und fordert dazu auf, das Passwort zu ändern.
Laut Google nutzen viele die gefährlichen Passwörter auch für besonders sicherheitssensitive Dienste aus den Bereichen Finanzen, Verwaltung oder E-Mail. Noch stärker verbreitet seien die kompromittierten Daten beim Login auf Shopping-, Nachrichten- und Unterhaltungs-Seiten – also beispielsweise Video-Streaming-Plattformen. Auf den Seiten sind oft auch heikle Daten wie Kreditkarten hinterlegt. Auf kleineren, unpopuläreren Seiten nutzten die Besucher 2,5-mal öfter kompromittierte Daten als bei den größeren Diensten.
Vertrauen vorausgesetzt
Passwort-Überprüfungen solcher Art sind mit Vorsicht zu genießen. Denn sie setzen voraus, dass man dem Anbieter solcher Dienste – in diesem Fall Google – absolutes Vertrauen entgegenbringt. Die Passwörter kommen in Klartext beim Anbieter an und werden meist für die statistische Auswertung in eine Datenbank übernommen. Streng gesehen sind die übertragenen Passwörter also durch die Überprüfung selbst kompromittiert.
In der neuen Version des Plug-ins gibt Google dem Nutzer zumindest die Option aus der “anonymen Berichterstellung”, also der Statistikerfassung auszusteigen. Die Option finden Sie, wenn Sie im Chrome-Browser auf das Symbol des Plug-ins klicken und dann auf “erweiterte Einstellungen”. Google hat angekündigt, die Passwort-Überprüfung auch in andere Produkte einzubauen, also beispielsweise Apps.
Warnungen bleiben ungehört
Gerade einmal 26 Prozent der Nutzerinnen und Nutzer reagierten auf die Warnung des Google-Plug-ins und änderten anschließend ihr Passwort. Der Großteil der Nutzer surfte einfach mit den kompromittierten Daten weiter. Nehmen die Nutzer und Nutzerinnen hingegen die Warnung ernst und wechseln ihr Passwort, weist das neue Passwort meist eine höhere Sicherheit auf – beispielsweise dadurch, dass keine vollständigen Worte verwendet werden oder dadurch, dass Sonderzeichen darin auftauchen.
Neu gewählte Passwörter sind meist sicherer als die zuvor verwendeten. (Quelle: Google)
Gegenmaßnahmen
Die einfachste Methode sich vor Passwortdiebstählen zu schützen, ist für jeden Dienst und jede Webseite ein unterschiedliches Passwort zu verwenden. Ist eines der Passwörter kompromittiert und taucht beispielsweise in einer Datenbank auf, sind dadurch immerhin nicht die anderen Accounts gefährdet. Um sichere Passwörter zu erstellen und zu speichern, hilft beispielsweise ein Passwort-Manager. (hcz)