profile

Michael Mayer

Liebling, unser Passwort leakt

Published 4 days ago • 3 min read

Passwörter "leaken" mittlerweile öfter als Waschmaschinen – ja, auch die ohne WLAN. Das ist schon komisch, denn die Haltbarkeit der Waschmaschinen ist in den letzten Jahren nicht unbedingt gestiegen. Aber jetzt wollen wir nicht über geplante Obsoleszenz diskutieren, sondern über Passwort Leaks.

Wie entsteht ein Leak?

Eine Website, Anwendung oder ein Portal wird gehackt. Wenn der Betreiber selbst draufkommt und seriös ist, dann informiert er seine User und fordert sie auf, ihr Kennwort zu ändern.

Es kommt auch oft vor, dass Hacker die Daten verkaufen oder einfach direkt veröffentlichen. Wenn die Daten an die Öffentlichkeit geraten, nennt man das "Leak". Es kann auch sein, dass sie nur wenige Stunden online sind, bevor sie gelöscht werden.

Es können Benutzernamen und E-Mail-Adressen sein, aber auch Klarnamen, Passwort-Hashes oder sogar Klartext-Passwörter. Das wäre echt eine Katastrophe, weil sie die gar nicht im Klartext gespeichert hätten dürfen.

Was juckt's mich?

Du registrierst dich in einem Forum, wie zum Beispiel im Hobby-Gärtner-Forum.

Dafür benutzt du einfach deine E-Mail-Adresse, wie immer.

Du verwendest auch dasselbe Kennwort, wie überall.

Das Hobby-Gärtner-Forum wurde gehackt, weil die Hobby-Gärtner jetzt viel draußen sind und nicht immer vor dem Computer hocken und gleich alle Security-Updates einspielen.

Die Angreifer haben jetzt deine Zugangsdaten, also E-Mail und Passwort, und können sich damit überall anmelden, wo diese Kombination gültig ist. Zum Beispiel auf deinen Social-Media-Accounts, bei deinem Webmail oder vielleicht sogar im Firmen-VPN. 💀

Wie bekomme ich einen Leak mit?

Auf der Website Have-I-Been-Pwned kannst du checken, ob deine E-Mail-Adresse schon geleakt wurde und falls ja, wo und welche Daten noch davon betroffen sind. Link: https://haveibeenpwned.com

Der Dienst ist kostenlos und wird von Troy Hunt, einem Security Researcher, betrieben. Die Leak-Datenbank hat heute knapp 15 Milliarden geleakte Accounts. Fun-Fact: "Pwned" ist eigentlich ein Tippfehler und soll "owned", also "gehackt", heißen. Das kommt aus dem Hacker-Slang.

Die Website überwacht das Internet nach Leaks, lädt sie sofort herunter, extrahiert die E-Mail-Adressen und stellt die Daten bereit. Keine Sorge, deine Kennwörter werden nicht gespeichert, oder angezeigt. Du bekommst nur die Info darüber, dass etwas passiert ist.

Gib einfach deine E-Mail-Adresse ein und prüf, ob du schon betroffen bist. Wenn ja, dann änder deine Kennwörter in den angezeigten Portalen am besten sofort. Die Kennwörter sollten natürlich individuell und zufällig generiert werden und du solltest sie gleich in deinem Passwort-Manager Passwort-Manager speichern.

Ich lege dir auch gleich ans Herz, die Benachrichtigungen von Have-I-Been-Pwned zu aktivieren. Wenn dein Account in einem Passwort-Leak auftaucht, wirst du automatisch darüber informiert.

Wie kann ich meine Firma schützen?

Auch hier ist die Antwort wieder Have-I-Been-Pwned. Sie haben einen Service, der "Domain Search" heißt. Dafür musst du deine Domain(s) erst einmal verifizieren und kannst dann einen API-Key beantragen.

Wenn deine Domain weniger als 10 geleakte E-Mail-Adressen hat, ist der Service sogar kostenlos. Danach sind die Preise gestaffelt, aber auch sehr günstig.

Es ist schon erstaunlich, wo sich Mitarbeiter mit ihrer E-Mail-Adresse überall registrieren. Ich will gar nicht erst von den privaten Dingen anfangen, aber auch die beruflichen Sachen sind oft sehr umfangreich.

Was kann ich gegen Leaks tun?

Nichts! Du vertraust deine E-Mail-Adresse und dein Kennwort einer fremden Organisation an und hoffst, dass sie damit sorgsam umgeht und keine Scheiße baut.

Spoiler-Alert: Das machen sie nicht. Und selbst wenn, Hacks passieren trotzdem.

Wenn wir wieder die Risiko-Management-Brille aufsetzen, dann heißt das für dich, dass du die Eintrittswahrscheinlichkeit nicht verringern kannst, aber sehr wohl das Schadensausmaß:

  • Verwende überall individuelle und zufällig generierte Kennwörter
  • Verwende überall, wo es geht, Multi-Faktor-Authentisierung
  • Verwende überall, wo es geht, Passkeys anstatt Passwörtern
  • Verwende verschiedene E-Mail-Adressen:
    • Eine "Spam Adresse" für Webshops, Foren, Portale, Newsletter (ja, auch meiner)
    • Eine "Private Adresse" zur Kommunikation mit Menschen, die du kennst
    • Du kannst auch Hide-My-E-Mail-Dienste nutzen wie ProtonMail oder Apple iCloud
  • Für die Firma kannst du auch deinen eigenen IdP (Identity Provider) nutzen, wie Microsoft 365, oder Google und Single Sign-On für bekannte Portale einrichten. Dadurch können alle User ihre Standard-Accounts benutzen, ohne zusätzlichen Kennwörtern.

Fazit

Passwort-Leaks sind ein echtes Problem und haben schon vielen das Genick gebrochen. Bitte nimm sie nicht auf die leichte Schulter. Wenn du dein Kennwort schon einem Fremden anvertraust, dann verwende zumindest ein anderes als für deine Bank, deinen E-Mail-Provider oder deine eID.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Wenn Hacker wie die “Feuchten Banditen” in Kevin allein zu Haus unbemerkt durch dein Netzwerk schleichen, möchtest du das sicher wissen. Der Film ist ein Paradebeispiel für Honeypots! Kevin lockt sie von einer Falle in die nächste und die Diebe tappen einfach hinein. Marv geht nicht durch die vereiste Haustür, sondern findet eine offene Kellertür, und sein Kopf wird von einem Bunsenbrenner gegrillt. Herrlich! Da bekommt man schon zu Ostern wieder Lust auf den Film. 😂 Was sind Honeypots genau?...

11 days ago • 3 min read

Letzte Woche ging es um Passwort-Manager für Anwender, heute um Passwort-Manager für Computer. Zumindest indirekt. 😉 In deinem Netzwerk hast du bestimmt hunderte Windows Clients und Windows Server, die über sogenannte Golden-Master-Images aufgesetzt werden. Das spart viel Arbeit und Zeit und schafft eine Basis, auf die du dich verlassen kannst. Das Problem ist nur, dass du damit auch überall dasselbe Passwort für deinen lokalen Administrator gesetzt hast. Selbst wenn die Clients und Server...

18 days ago • 4 min read

Ich weiß echt nicht, was mich gerade mehr traurig macht. Dass wir 2025 immer noch Passwörter haben, oder dass wir darüber diskutieren, wie man sie richtig verwendet. Wer kennt es nicht, dass man bei der Verwandtschaft sitzt, beim Laptop den E-Mail-Client neu verbindet und der Onkel einen Schweißausbruch bekommt, wenn man ihm nach dem Passwort fragt. – "Passwort? Ich hab kein Passwort. Das hast du doch." Meist ist dann doch eines der drei Lieblingskennwörter, die vom Online-Banking bis hin zum...

25 days ago • 3 min read