Wenn Sie sich bei der PresseBox für einen eigenen Account registrieren, legen Sie wie bei anderen Websites persönliche Zugangsdaten für Ihren Account fest. Im Normalfall können Sie diese Zugangsdaten frei wählen. Jedoch kann es vorkommen, dass Ihr ausgesuchtes Passwort nicht akzeptiert wird. Der Grund: Bei Ihrem Vorschlag handelt es sich um ein sogenanntes kompromittiertes Passwort. Was das genau ist und wie Sie am besten damit umgehen – und vor allem, wie Sie ein sicheres Passwort erstellen, lesen Sie hier.
Was ist ein kompromittiertes Passwort?
Kompromittieren ist im EDV-Bereich ein fester Begriff dafür, wenn unberechtigt in ein Computersystem eingedrungen und dort gespeicherte Daten ausgespäht oder manipuliert werden. Bei kompromittierten Passwörtern handelt es sich also um Zugangsdaten, die durch ein Datenleck – zum Beispiel durch einen Hacker-Angriff – frei einsehbar geworden sind. Das muss nicht zwingend bedeuten, dass mit diesen Zugangsdaten durch unberechtigte Nutzung bereits Schaden angerichtet wurde, aber die Wahrscheinlichkeit dafür steigt.
Kompromittierte Passwörter, also geklaute Zugangsdaten, werden listenweise gesammelt und illegal im Darknet gehandelt. Dadurch existieren riesige Datenbanken, die mit jedem neuen Datenleck weiter wachsen. Sicherlich steckt dabei nicht hinter jedem Datensatz der Zugang zu einem Online-Bankkonto oder einem Kundenkonto bei einem Onlineshop, über das sich Cyberkriminelle direkt bereichern können. Es kann sich zum Beispiel um Zugangsdaten für einen Facebook-Account handeln, für ein Forum, ein Online-Spiel oder sonstiges, wo weitere wertvolle Informationen erbeutet werden können.
Welches Sicherheitsrisiko steckt dahinter?
Kriminelle Nutzer solcher Datenbanken mit kompromittierten Passwörtern setzen darauf, dass viele Menschen oft ein- und dasselbe Passwort für unterschiedliche Dienste verwenden. Eine Schwachstelle, die sich die Angreifer mit einer Methode namens Credential Stuffing zunutze machen.
Das Prinzip ist simpel: Beim Credential Stuffing werden die Login-Daten (engl.: credentials) aus der Datenbank einfach auf gut Glück für die Anmeldung bei anderen Diensten ausprobiert. Deshalb kommt es bei dieser Methode rein auf die Masse an. Je mehr Passwörter die verwendete Datenbank enthält, desto höher ist die Wahrscheinlichkeit, dass eines davon passt. Dabei wenden die Täter illegale Netzwerke (sog. Botnetze) und automatisierte Prozesse an, was das aufwendige Verfahren trotz einer geschätzten Trefferquote von nur 0,1 Prozent dennoch rentabel für sie macht. Statistisch gesehen muss ein Täter also rund 1.000 Login-Daten austesten, um in ein Konto einzubrechen.
Passwort-Check bei der Registrierung auf PresseBox
Um das beschriebene Sicherheitsrisiko durch kompromittierte Passwörter so gering wie möglich zu halten, führt PresseBox bei der Registrierung von neuen Nutzern einen Passwort-Check durch. Dieser läuft beim Festlegen des Passworts automatisch im Hintergrund ab und macht sich nur dann bemerkbar, wenn das ausgesuchte Passwort in einer der bekannten Datenbanken mit kompromittierten Passwörtern auftaucht. Ist das der Fall, muss der Nutzer ein neues Passwort vorschlagen.
Achtung: Sollten Sie beim Passwort-Check der PresseBox eine Warnung erhalten, gilt diese nicht nur für die Login-Daten bei der PresseBox. Wenn Sie dieses Passwort bereits für andere Dienste nutzen, sind diese Konten ebenfalls einem erhöhten Sicherheitsrisiko ausgesetzt, sodass Sie Ihre Zugangsdaten dort schnellstmöglich ändern sollten.
Sind Ihre Login-Daten sicher?
Einen ähnlichen Sicherheits-Check für Login-Daten wie er im Registrierungsprozess bei PresseBox durchgeführt wird, können Sie bei verschiedenen Anbietern kostenlos auch für andere Accounts durchführen. Dafür geben Sie je nach Anbieter entweder eine E-Mail-Adresse oder ein Passwort ein. Der jeweilige Servicedienst gleicht Ihre Angabe dann mit den zur Verfügung stehenden Datenbanken ab und gibt eine direkte Info, ob Ihre Daten bereits in einer der Listen veröffentlicht wurden.
Vertrauenswürdige Anbieter für einen Zugangsdaten-Sicherheits-Check:
Über die englischsprachige Plattform Have I Been Pwned lassen sich nicht nur E-Mail-Adressen und Telefonnummern auf Datenlecks überprüfen, sondern auch Passwörter. Sollte die Suche ergeben, dass Ihr Passwort in einer der Datenbanken auftaucht, muss das jedoch nicht heißen, dass Sie direkt vom Datenklau betroffen sind. Es kann auch sein, dass genau dieses Passwort ebenfalls von anderen Personen genutzt wird, deren Account von einem Datenleck betroffen ist. Trotzdem ist das Passwort dann auch für Sie unsicher.
Sichere Passwörter erstellen
Je öfter ein Passwort in Gebrauch ist, desto eher taucht es in einer der Datenleck-Listen auf. Besonders beliebt sind einfache Passwörter, die man sich leicht merken kann. Das ist jedoch genau der falsche Weg und hat in etwa die gleiche Wirkung wie ein Hausschlüssel, den man von außen im Türschloss stecken lässt.
Beispiele für unsichere Passwörter:
- Zeichenreihen von der Tastatur: z.B. qwertz, asdfg, yxcvb.
- Einfache Zahlenreihen: z.B. 123456, 123321, 987654.
- Einfache Wörter aus dem Wörterbuch: Passwort, Haus, Katze.
- Geburtstage, Namen, Telefonnummern.
Auch die Kombinationen von Wörtern und Zahlen (z.B. Pressemitteilung123) oder durch Zahlen und andere Zeichen ausgetauschte Buchstaben (z.B. P@ssw0rd) lassen sich von Angreifern schnell knacken.
Was ein Passwort sicher macht
Ein Passwort sollte …
- aus möglichst vielen Klein- und Großbuchstaben, Zahlen und Sonderzeichen bestehen.
- nicht aus nur einem oder zwei einzelnen, normalen Wörtern bestehen.
- kein Satz sein aus einem Buch, kein Zitat oder Ähnliches sein.
- mindestens 12 Zeichen lang sein – je länger, desto besser.
- z.B. so aussehen: Dim1.N-AbdPP.H!
- oder z.B. aus einer Kombination aus mindestens fünf vollkommen zufällig(!) gewählten Wörtern bestehen: Rodeo-Ethik-Sessel24-Hass-Esche.
Wie man sich sein Passwort merken kann
Ein sicheres Passwort wie zum Beispiel „Dim1.N-AbdPP.H!“ lässt sich auf den ersten Blick nicht so leicht merken wie „Pressemitteilung123“. Dieses Problem lässt sich allerdings direkt bei der Erstellung eines Passworts mithilfe einer Eselsbrücke lösen.
So geht’s: Überlegen Sie sich für Ihr Passwort einen oder mehrere Sätze, die Sie sich leicht merken können, und verwenden Sie davon nur die Anfangsbuchstaben sowie Zahlen und Sonderzeichen. So wird aus dem folgenden Satz unser Beispiel-Passwort:
Das ist mein 1. Nutzer-Account bei der Plattform PresseBox. Hurra! = Dim1.N-AbdPP.H!
Wichtig: Verwenden Sie ein Passwort nie für mehrere Zugänge, sondern immer nur für einen. Nur so lässt sich das Risiko, durch ein kompromittiertes Passwort angreifbar zu werden, auf ein Minimum begrenzen. Und: Verwenden Sie jetzt bitte NICHT „Dim1.N-AbdPP.H!“!
Tipp: Ein Passwort-Manager kann helfen
Wer trotz Eselsbrücken Schwierigkeiten hat, sich all seine Passwörter zuverlässig zu merken, kann alternativ auf einen Passwort-Manager zurückgreifen. Dabei handelt es sich um eine Software, die Sie sich wie einen Tresor für alle Ihre Passwörter vorstellen können. Sie müssen sich also nur ein einziges Passwort merken, um auf alle anderen Passwörter zugreifen zu können. Oft sind solche Programme zudem mit einem Passwortgenerator ausgestattet, der auf Wunsch automatisch sichere Passwörter erstellt.
Für Passwort-Manager gibt es viele verschiedene Anbieter, die unterschiedliche Funktionsprinzipien nutzen. Manche sind außerdem kostenlos, andere nicht. Zudem stellt sich einem als Nutzer die berechtigte Frage, wie sicher die gespeicherten Passwörter in einem Passwort-Manager sind. Mehr darüber erfahren Sie zum Beispiel auf der Website des Bundesamts für Sicherheit in der Informationstechnik.
Hinweis: Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.
