Riskant und unnötig: Millionen Anwender nutzen das selbe Passwort für mehrere Dienste

Viele Nutzer von Online-Diensten nutzen das selbe Passwort für mehrere Accounts. Auch wenn es bequemer ist, ist es doch riskant. Microsoft zwingt nun zumindest Nutzer, deren Passwörter bereits im kriminellen Umfeld gelandet sein dürften, zu einem Passwortwechsel.

Ein Konto bei Google, eine E-Mail-Adresse bei Yahoo, eine Apple-ID, dann noch Facebook und Twitter, auch ein durchschnittlicher Internetnutzer sammelt schnell eine ganze Menge Accounts bei verschiedenen Online-Diensten an. Sich für all diese Anbieter verschiedene Passwörter im Kopf behalten zu müssen, ist vielleicht eine hilfreiche Gedächtnisübung, besonders beliebt ist dieses Vorgehen unter den Nutzern aber nicht. In der Folge nutzen viele Anwender ein Passwort – vereinzelt auch in Varianten – für gleich eine ganze Reihe von Diensten. Das ist gefährlich, denn mit jedem weiteren Dienst, für den man sein „Lieblingspasswort“ benutzt, steigt das Risiko, dass einer dieser Dienste erfolgreich gehackt wird und die Passwörter der Nutzer gestohlen werden.

Inzwischen gibt es zahlreiche Datenbanken, die entwendete Passwörter von Nutzern enthalten, manchmal auch samt der zugehörigen Benutzernamen. Manche sind im Besitz von Sicherheitsexperten, die Nutzern helfen wollen zu erfahren, ob ihr Login bereits kompromittiert wurde, doch naturgemäß finden sich viele auch im Besitz von „bösen Jungs“. Wenn die dann etwa auf das eigene Google-, Microsoft- oder Apple-Konto zugreifen können, wo womöglich Zahlungsmethode hinterlegt sind, wird die Sache ganz schnell ganz ungemütlich.

44 Millionen Kunden bei Microsoft nutzten ein Passwort für viele Dienste

Das Threat Research Team von Microsoft hat laut Medienberichten alle Anmeldedaten von Microsoft-Kunden mit einer dieser Passwortdatenbanken abgeglichen, die rund drei Milliarden erbeutete Passwörter enthielt. Ergebnis: Rund 44 Millionen Microsoft-Kunden nutzten ein Passwort für die Anmeldung auch bei wenigstens einem anderen Dienst. Wo immer eine Übereinstimmung mit einem Eintrag in der Referenzdatenbank gefunden wurde, werden die Nutzer zur Vergabe eines neuen Passworts gezwungen.
Der Abgleich fand zwischen Januar und März diesen Jahres statt, danach in fremde Hände gefallene Passwörter werden nicht berücksichtigt.

Empfehlung: Diverse Passwörter und Zwei-Faktor-Authentifizierung nutzen

Angesichts dieser Zahlen bleibt nur, die übliche Empfehlung noch einmal zu wiederholen: Möglichst sollte man darauf verzichten, ein Passwort für viele Dienste zu nutzen.

Weiters sollte man, wo immer das möglich ist, die Zwei-Faktor-Authentifizierung verwenden, denn so kann der Schaden begrenzt werden, sollte das Kind schon in den Brunnen gefallen sein. Eine frühere Meldung zeigt jedoch, dass gerade dieses wirksame Schutzinstrument von zu wenigen Nutzern verwendet wird. Zahlreiche Apple-Kunden konnten so nichts dagegen tun, als ihre Apple-IDs von Angreifern übernommen wurden.