Nach einem katastrophalen Datenleck kursieren zur Zeit über 140 Millionen LinkedIn-Passwörter im Internet. Im Beitrag steht, wie man sich vor solchen Hacks schützen kann.

Bereits 2012 wurde bekannt, dass das soziale Netzwerk LinkedIn von Hackern angegriffen wurde. Damals wurden ca. 6 Millionen Nutzer informiert und ihre Passwörter zurückgesetzt. Inzwischen sieht es danach aus, dass bei jenem Angriff eine wesentlich größere Zahl an Zugangsdaten erbeutet wurde – aktuell geht man von ca. 140 Millionen aus.

Bei solchen Hacks werden in der Regel nicht die Passwörter selbst erbeutet. Diese werden von den Anbietern meist gar nicht gespeichert. Gespeichert wird nur der so genannte „Hash-Wert“ jedes Passworts. Gibt man als Nutzer beim Login sein Passwort ein, wird aus ihm jedes Mal neu der Hash-Wert errechnet und mit dem hinterlegten Hash-Wert verglichen. Nur wenn die beiden Werte übereinstimmen, wird der Zugang zum Account gewährt (erfahre mehr).

Bei Hacker-Angriffen auf Server können daher in der Regel nur die Hash-Werte erbeutet werden – nicht die Passwörter selbst. Der Schaden ist trotzdem groß, weil auf Grundlage der Hash-Werte die ihnen zugrunde liegenden Passwörter errechnet werden können. Das ist zwar in dieser Richtung wesentlich aufwändiger, aber es ist nur eine Frage der Zeit, bis die Angreifer auch diese Aufgabe gelöst haben. Zudem sind die Hash-Werte von beliebten Passwörtern bereits bekannt. Sie können in so genannten Regenbogen-Tabellen sofort gefunden werden. Zwar werden auch starke Passwörter irgendwann geknackt, wenn ihre Hash-Werte erbeutet werden
– es dauert aber wesentlich länger. Am schnellsten geht es bei dem Passwort „123456“. Über eine Million der vom aktuellen Hack betroffenen Nutzer haben es verwendet. Auch  „123456789“, „linkedin“ und „password“ waren bei ihnen äußerst beliebt (erfahre mehr). Man wundert sich nicht nur über die Nachlässigkeit der Nutzer, sondern auch über die des Betreibers, der solche Passwörter ja durch ein paar einfache Regeln verhindern könnte.

Besonders brenzlig sind Passwort-Hacks für Nutzer, die aus Bequemlichkeit das selbe Passwort für mehrere Dienste verwenden, also beispielsweise
das LinkedIn-Passwort auch noch für Facebook, Gmail und für das
Online-Banking einsetzen (erfahre mehr).

Wie kann man sich schützen?

• Ändere Dein Passwort sofort, wenn Du erfährst, dass ein von Dir genutzter Dienst angegriffen wurde (natürlich auch bei anderen Diensten, falls Du dort bisher das selbe Passwort verwendet hast). Warte nicht, bis Du kontaktiert wirst.
• Nutze einen Passwort Manager (z. B. keepass, erfahre mehr).
• Nutze eine starke Passphrase für Deinen Passwort-Manager (die Du z. B. nach der Diceware-Methode erzeugen kannst, erfahre mehr).
• Nutze für jeden Dienst ein anderes starkes Passwort bzw. eine Passphrase. Du kannst sie mit dem Passwort-Manager erzeugen und dort speichern.
• Aktiviere wann immer es geht die 2-Schritt-Authentifizierung. Dann ist der Login nur mit dem Passwort und zusätzlich einer einmaligen, z. B. per SMS zugestellten PIN möglich. So errichtest Du quasi einen zweiten, inneren Schutzwall um Deinen Account (erfahre mehr).

Wie schützt Du Deine Online-Konten? Hinterlass einen Kommentar!

Findest Du diesen Beitrag interessant?

→ Unterstütze diese Seite mit einer Spende (klicke oben rechts auf „Donate“)

→ Folge mir auf Twitter (@JochenPlikat) oder abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)

→ Teile den Beitrag mit Deinen Freunden (klicke unten auf einen der Buttons)

Über 140 Millionen LinkedIn-Passwörter gehackt by Jochen Plikat is licensed under CC BY-NC-ND 4.0.

Bildnachweis: No title by TBIT on Pixabay is licensed as CC0 Public Domain.