Du bist hier:
• 3 Kommentar(e)
  • Diesen Artikel drucken
  • Diesen Artikel empfehlen

Account gehackt?

So findet ihr raus, ob eure Login-Daten geklaut wurden

Dropbox, Yahoo, Adobe, Sony: Immer wieder liest man von geklauten Passwörtern. Sind eure auch dabei?

Dunkle Gestalt im Kapuzen-Pulli hinter einem stilisierten Vorhang aus 0 und 1 und Vorhängeschlössern. Bild: chainat / Fotolia.com
Bild: chainat / Fotolia.com

Es ist ein tägliches Katz- und Mausspiel: Hacker greifen Datenbanken großer Unternehmen an, knacken sie manchmal und können E-Mail-Adressen oder Nutzernamen und Passwörter von Nutzern stehlen. Kurz darauf veröffentlichen sie sie im Internet, damit auch andere die Daten für illegale Handlungen nutzen können.

Beispiel Dropbox: Im August 2016 wurden alle Nutzer aufgefordert, ihre Passworte zu ändern. Denn 68 Millionen Nutzerdaten (E-Mail-Adressen samt Passwörtern) waren im Internet aufgetaucht. Erbeutet wurden sie wahrscheinlich bei einem Hacker-Angriff 2012.

Da fragt man sich dann: Sind meine Daten auch dabei? Es gibt Seiten, auf denen ihr das prüfen könnt. Drei davon stellen wir euch vor.


 BSI-SicherheitstestHPI Identity Leak CheckerHave I been pwned?
BetreiberBundesamt für Sicherheit in der InformationstechnikHasso-Plattner-Institut (HPI) der Uni PotsdamTroy Hunt, Internet-Sicherheitsexperte und Blogger
Sprache der Seitedeutschdeutschenglisch
So funktioniert'sE-Mail-Adresse ins Suchfeld eingeben. Nur falls die eingetragene Mail-Adresse betroffen ist, kommt eine E-Mail mit Empfehlungen weiterer Maßnahmen.E-Mail-Adresse ins Suchfeld eingeben. Danach erhaltet ihr eine E-Mail, in der ihr lesen könnt, ob Login-Daten mit eurer Mail-Adresse im Internet veröffentlicht wurden.E-Mail-Adresse oder Nutzernamen ins Suchfeld eingeben. Danach zeigt die Seite an, ob Login-Daten mit euren Angaben im Internet veröffentlicht wurden.
Info, von welchen Accounts die Daten stammen?NeinTeilweiseJa
Datensätze (lt. Angabe der Betreiber)30 Millionen, Aktualisierungen bei Bedarf3,5 Milliarden, Aktualisierungen bei Bedarf3,7 Milliarden, Aktualisierungen bei Bedarf
Adressesicherheitstest.bsi.desec.hpi.uni-potsdam.de/leak-checker/searchhaveibeenpwned.com

Alle drei genannten Seiten erheben keinen Anspruch auf Vollständigkeit. Das heißt: Auch wenn ihr die Meldung bekommt, dass eure Login-Daten nicht öffentlich sind, kann es sein, dass sie doch irgendwo sichtbar im Netz herum schwirren. Denn die Seiten durchsuchen nicht das komplette Internet, sondern Datensätze, von deren Existenz die Betreiber wissen.


Worauf ihr bei solchen Diensten achten solltet

Bevor ihr solche Dienste nutzt, solltet ihr euch vergewissern, dass

  • die Anbieter seriös sind (also einen entsprechenden Ruf genießen und auf der Seite z.B. aussagekräftige FAQ oder eine Datenschutzerklärung haben),
  • eure eingegebenen Daten nicht gespeichert werden, um sie weiter zu verkaufen oder für andere Zwecke zu nutzen,
  • eure Daten nicht länger als für den Abgleich der Datenbanken gespeichert werden.

Wie für alle Internetseiten gilt auch bei solchen Angeboten: Habt ihr ein schlechtes Gefühl dabei, sie zu nutzen, nutzt sie nicht!



Was zu tun ist, wenn eure Daten veröffentlicht wurden

  • Passwort der betroffenen Accounts sofort ändern.
  • Ein sicheres Passwort wählen.
  • Falls ihr das gleiche Passwort auch woanders verwendet: Auch dort unbedingt ändern! Am besten für jeden Account ein eigenes Passwort nutzen.
  • Sofern möglich: Zwei-Faktor-Login aktivieren. Das wird schon von vielen angeboten: Ihr gebt z.B. eine Handynummer an und erhaltet bei jedem Login-Versuch eine SMS mit einem Code. Erst wenn ihr den auch eintippt, kommt ihr in euren Account.

(hamo)

Der Text dieses Beitrags steht unter Creative-Commons-Lizenz: Was bedeutet das?

Schlagworte

Wie hat dir der Artikel gefallen? Top oder Flop?

3 Kommentar(e)

  • Jürgens
     

    daten-klau

    Finde die prüfmöglichkeit grandios

    Nach oben zum Artikelanfang
  • Petra
     

    Bewertung

    Wer versichert mir, das diese Abfrage seriös ist, kein FAQ, keine Datenaschutzerklärungen.
    Großes Fragezeichen ?

    Nach oben zum Artikelanfang
  • checked4you
     

    Re: Bewertung

    Hallo Petra,
    deine Frage ist berechtigt. Die ersten beiden Seiten haben sowohl ein Impressum als auch eine Datenschutzerklärung. So sieht es das deutsche Recht vor. Bei ihnen handelt es sich um eine staatliche Stelle (Bundesamt für Sicherheit in der Informationstechnik, BSI) und eine öffentliche Stelle (Universität Potsdam). Die dritte Seite wird von dem Australier Troy Hunt betrieben, der sich im Bereich Internetsicherheit einen Namen gemacht hat und in FAQ (unter dem Menüpunkt "About") auf den Datenschutz eingeht. Hunt hat Referenzen, die für seine Seriosität sprechen (unter anderem https://mvp.microsoft.com/de-de/PublicProfile/4031649 und https://conference.auscert.org.au/speaker/troy-hunt/). Er wird von zahlreichen Medien weltweit in Bezug auf Internet-Sicherheitsfragen zitiert.
    Natürlich sind die Seiten lediglich Empfehlungen und für sie gilt, was eigentlich für alle Seiten im Internet gilt: Hast du ein schlechtes Gefühl, nutze sie nicht!
    Viele Grüße
    Dein checked4you-Team

    Nach oben zum Artikelanfang