Wie der Betreiber der Webseite „Have I been pwned“ mitteilte, ist im Internet eine Sammlung von fast 773 Millionen Mail-Adressen sowie 21 Millionen verschiedenen Passwörtern aufgetaucht. Zwar scheinen die Daten darin nicht unbedingt aus aktuellen Daten-Lecks zu stammen, die schiere Masse der somit vorliegenden Zugangsdaten dürfte aber für alle mit Sicherheit befassten Personen für einige Kopfschmerzen sorgen.
Sicherlich sind (leider wieder einmal) nur die üblichen Empfehlungen an alle Internet-Nutzer zu geben: Bei der Registrierung möglichst sichere Passwörter zu nutzen, und Passwörter möglichst nicht auf mehreren Plattformen wiederzuverwenden. Um die sich daraus ergebende Flut von notwendigen Passwörtern noch handhaben zu können, bieten sich neben den in den Browsern eingebauten Verwaltungen auch externe Tools wie „KeePass“ an. Dieses Quell-offene Tool, welches für alle gängigen Desktop- und Mobile-Geräte verfügbar ist, und für das auch Plugins für Browser verfügbar sind, erlaubt die Vergabe und Verwaltung von Kennwörtern für beliebige Dienste und Webseiten.
Dringend angeraten ist es aber, seine eigenen Accounts über die „Have I been pwned“-Webseite auf Erscheinen in der Datensammlung zu prüfen. Ist die eigene Mail-Adresse vorhanden, erhält man Informationen zu der Quelle. Der nächste Schritt ist dann die Änderung des Passworts, sowie Prüfung, ob das zu dem Account gehörige Passwort gegebenenfalls noch an anderer Stelle zum Einsatz gekommen ist – in dem Fall sind natürlich auch die anderen Webseiten entsprechend zu sichern.
Domaininhaber können sich auf der selben Seite auch eine Liste aller unter ihrer Domain aufgetauchten Accounts erstellen lassen. Dies erleichtert es, zentral für alle Anwender eine Prüfung durchzuführen, um so zum Beispiel die Angriffsmöglichkeiten auf geschäftlich genutzte Accounts zu reduzieren.
Update 25.1.2019
Nach der Passwort-Sammlung, die Mitte Januar bekannt wurde, gibt es heute Meldungen übe weitere Passwort-Archive, die insgesamt mit dem Ursprünglichen Archiv ein Aufkommen von über 2.2 Milliarden Adressen und zugehörigen Passwörtern haben sollen. Eine Prüfung des Auftretens der eigenen Adresse ist bei dem Hasso-Plattner-Institut unter https://sec.hpi.de/ilc/search möglich. Die Ausgaben sind dabei noch umfangreicher, zusätzlich vorhandene Informationen werden ebenfalls mit ausgegeben.