Beschlich Sie in den letzten Wochen ebenfalls ein leicht mulmiges Gefühl, wenn in der Presse der nächste – und natürlich noch größere – Passwort-Leak verkündet wurde? Die Chancen dafür sind hoch, dass auch Sie davon betroffen sind. Denn während es in der Collection #1 Mitte Januar „nur“ um 773 Millionen Passwörter ging, wurden zwei Wochen später in den Collections #2-5 bereits 2,2 Milliarden betroffene Accounts vermeldet. Für mich war das der Anlass, mein eigenes Verhalten im Umgang mit Passwörtern kritisch zu hinterfragen und anschließend eine Art digitalen Frühjahrsputz durchzuführen.

Passwort-Leaks: Bin ich überhaupt betroffen?

Dass die Überprüfung meiner Account-Daten dringend nötig war, wurde mir nach dem Check einer privaten Mail-Adresse auf https://haveibeenpwned.com/ bestätigt. Diese tauchte in gleich fünf sogenannten „Breaches“ auf. Zwei davon fanden bei Online-Diensten statt, bei denen ich Kunde bin bzw. war. Eine schnelle Überprüfung eines meiner Passwörter auf https://haveibeenpwned.com/Passwords ergab anschließend immerhin zwei Treffer. Das spricht dafür, dass es wirklich von mir stammt und nicht jemand anders zufällig das gleiche verwendet hat. Spaßeshalber habe ich anschließend das allseits bekannte „123456“ eingegeben: „This password has been seen 23.174.662 times before“ ?. Daraus schließe ich folgendes: Die Sicherheit meines eigenen Passworts war zwar eigentlich recht hoch, denn es tauchte nur zweimal auf. Aber da es direkt bei einem Anbieter verloren ging, war es nun genauso unsicher wie die fortlaufende Zahlenkombination.

Äh, Moment mal…

Wer an dieser Stelle denkt, dass es nicht sehr clever ist, sein persönliches Passwort auf einer Webseite zu testen und es damit quasi preiszugeben, hat natürlich grundsätzlich recht. Allerdings verwendet der Betreiber Troy Hunt, ein anerkannter Sicherheitsexperte, ein Verfahren, mit dem er die eingegebene Passphrase weder komplett lesen noch ermitteln kann. Die technischen Details sind hier beschrieben: https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity. Davon abgesehen besteht die Möglichkeit, alle geleakten Passwörter im SHA-1-/NTLM-Hash-Format auf einmal herunterzuladen und den Abgleich direkt auf dem eigenen Rechner vorzunehmen.

Start der Mission „digitaler Frühjahrsputz“

Ok, weiter im Text: Zunächst habe ich nachgesehen, wo sich überall Account-Daten mit Mail-Adressen und Passwörtern befinden. Fündig wurde ich in diversen Browsern (Safari, Firefox, Chrome) sowie in der Schlüsselbundverwaltung des Macs. Darüber hinaus sind mir noch weitere eingefallen (das sind die, die man immer auswendig eingibt, weil sie so…äh…leicht zu merken sind ?). Die erste Hürde bestand nun darin, alle Informationen in eine .csv-Datei zu bekommen, um sie leichter bearbeiten zu können. Während die dazu nötige Exportfunktionalität bei einigen Anwendungen bereits mit Bordmitteln möglich war, waren bei anderen Zusatzprogramme notwendig. Schließlich hatte ich nach und nach alles in einer Excel-Tabelle erfasst.

Insgesamt kamen auf diese Weise rund 200 private und berufliche Datensätze zusammen. Von der Menge war ich zunächst selber überrascht. Bei näherer Betrachtung wurde dann aber schnell klar, dass neben einigen „Leichen“ bereits lange eingestellter bzw. nicht mehr genutzter Online-Plattformen natürlich auch zahlreiche Mehrfach-Accounts vorhanden waren. Bei Press’n’Relations sind beispielsweise gewollt mehrere Twitter-Accounts aktiv, privat verwalte ich die Apple-Accounts der Familie, es existieren darüber hinaus mehrere Mail-Adressen bei diversen Anbietern, Shops und Unternehmen. Kurz gesagt: Es läpperte sich einfach zusammen. An dieser Stelle erfolgte dann bereits die erste Bereinigung: Ich löschte diverse Accounts sowie persönliche Inhalte auf nicht mehr genutzten Webseiten.

Passwort-Mehrfachnutzung inklusive

Interessant wurde es, als ich die Tabelle anschließend nach der Spalte „Passwort“ sortierte und die Mehrfachnutzung diverser Passphrasen klar zu Tage trat. Ja, es gab definitiv Lieblingspasswörter, die ich öfters verwendete. Ok, Augen zu und durch: Nach und nach überprüfte ich jedes einzelne auf etwaigen Missbrauch, indem ich es mit der Passwort-Datei der oben verlinkten Seite abglich. Betroffene Accounts wurden entsprechend farblich markiert, unauffällige ließ ich in der aktuellen Version bestehen. Am Schluss war die Liste allerdings trotzdem mehr rot als grün ?. Zeit für Phase 2.

Im nächsten Schritt löschte ich zunächst alle Account-Daten aus sämtlichen Browsern sowie der Schlüsselbundverwaltung. Denn anstelle der bisherigen fragmentierten Passwortverwaltung wollte ich eine zentrale in Form eines Passwort-Managers haben. Es gibt eine Vielzahl von Anbietern und die meisten decken bereits in der kostenlosen Basisversion die wichtigsten Grundfunktionalitäten ab. Meine Wahl fiel auf https://bitwarden.com/. Dieser Passwort-Tresor basiert auf Open Source-Software und bietet eine Web-, Browser- sowie Betriebssystem-Integration für Mac und iOS. In diesen importierte ich die bereinigte, aber noch mit den kompromittierten Passwörtern versehene .csv-Liste. Der Grund dafür: In Bitwarden ist ein Passwort-Generator enthalten, der sichere Passphrasen erstellen kann. Über diese Funktionalität vergab ich für jeden einzelnen der rot markierten Accounts ein eigenes, neu generiertes Passwort. Nach der Passwortänderung auf der jeweiligen Webseite musste ich den jeweiligen Eintrag in Bitwarden anschließend nur noch aktualisieren.

Sicherheit ist und bleibt volatil

Der Zugriff auf den Passwort-Manager ist nun natürlich wieder mit einem Passwort gesichert, aber eben nur noch mit einem einzigen für alle dort gespeicherten Einträge. Und ja, ich habe es überprüft: Es ist – Stand heute – sicher und trotzdem leicht zu merken ?. Zusätzlich kommt darüber hinaus eine Multifaktor-Authentifizierung zum Einsatz, bei der ich einen sechsstelligen, zufällig generierten Code eingeben muss. Künftigen Leaks, egal bei welchem Anbieter oder auf welcher Plattform, sehe ich jetzt etwas entspannter entgegen. In so einem Fall kann mit einem Klick überprüft werden, ob eines der Passwörter kompromittiert wurde. Gleichwohl ist mir aber schon bewusst, dass es eine 100%ige Sicherheit nicht geben kann. Aber solange ich nicht zu den über 23 Millionen gehöre, die „123456“ verwenden, ist schon ein großer Schritt getan.