Kennwort-Recycling Microsoft-Passwörter millionenfach unsicher

44 Millionen Microsoft-Passwörter sind unsicher. Das Unternehmen erzwingt daher einen Kennwort-Wechsel.

Mehr als 44 Millionen Passwörter für verschiedenste Microsoft-Dienste sind unsicher, weil sie von Nutzerinen und Nutzern mehrfach vergeben wurden. Das hat das Unternehmen bei einem Abgleich von mehr als drei Milliarden Anmelde-Datensätzen für Dienste anderer Anbieter herausgefunden, die nach Hacker-Angriffen oder Datenlecks frei auffindbar im Netz kursieren.

Die Prüfung ist eine Momentaufnahme und umfasst nur die Fälle aufgespürter Mehrfachvergaben von Passwörtern aus dem Zeitraum Januar bis März 2019. Microsoft gleicht Kunden-Passwörter kontinuierlich mit geleakten Anmelde-Datensätzen ab und veröffentlicht die Ergebnisse in seinem Sicherheitsreport.

Microsoft erzwingt neue Passwörter

Und wie geht Microsoft mit betroffenen Privatkunden um? Das Unternehmen erzwingt nach eigenen Angaben einen Passwortwechsel. Das bedeutet, dass bei der Anmeldung ein Dialog zum Ändern des Passwortes angezeigt wird.

Die Microsoft-Prüfung veranschaulicht, warum Sicherheitsexpertinnen und -experten immer wieder davor warnen, Passwörter mehrfach zu verwenden. Nutzerinnen und Nutzer sollten stattdessen besser für jeden Dienst ein individuelles Passwort wählen.

Und wie soll man sich den Wust komplizierter Passwörter merken? Ganz einfach: Zugangsdaten lassen sich komfortabel mit einem Passwortmanager verwalten – beispielsweise mit dem im Firefox-Browser integrierten Manager oder mit einer Manager-Software wie dem Open-Source Programm Keepass. Für beide Lösungen gibt es auch Apps zur Smartphone-Nutzung.

2FA für die Extraportion Sicherheit

Alternativ oder – noch besser – zusätzlich ist bei Diensten die Aktivierung der Zweifaktor-Authentifizierung (2FA) in den Einstellungen empfehlenswert, wo immer sie verfügbar ist. Dann wird nach Eingabe des Passworts ein zweiter Code abgefragt. Dieser kann etwa per SMS übertragen oder über sogenannte Autenticator-Apps erzeugt werden.

Ein weiterer möglicher 2FA-Weg am Rechner sind sogenannte U2F-USB-Sticks, die beim Log-in angesteckt sein müssen und die Nutzerin oder den Nutzer identifizieren.

Galerie: Konten mit 2FA absichern

Weitere 13 Bilder ansehen

Konten mit Zwei-Faktor-Anmeldung absichern

Mit der Zwei-Faktor-Authentisierung (2FA) lassen sich die eigenen Accounts bei zahlreichen Internet-Diensten zuverlässig vor Eindringlingen schützen.

Bild: iStock

Google bietet zur Sicherung von Konten die «Aufforderung von Google» an. Aktivieren lässt sie sich in den Google-Konto-Einstellungen unter «Sicherheit» --> «Bestätigung in zwei Schritten».

Bild: dj

Nun muss ein Smartphone ausgewählt werden, dass für die Aufforderung verwendet wird.

Bild: dj

Bei jeder neuen Anmeldung in einem Google-Dienst bekommt man nun auf diesen Smartphone etwa in der Gmail-App ein Aufforderung, diese Anmeldung zu bestätigen.

Bild: dj

Google bietet daneben noch eine Reihe weiterer 2FA-Methoden an, die anhand anderer Dienste erklärt werden.

Bild: dj

Facebook etwa bietet bei 2FA ebenfalls den Google Authenticator an. Einrichten lässt sich das in den Einstellungen unter «Sicherheit und Login» --> «Verwende die zweifstufige Authentifizierung».

Bild: dj

Nun muss man mit dem Google Authenticator einen QR-Code einscannen.

Bild: dj

Die App erzeugt nun ständig neue Codes.

Bild: dj

Die man dann zum Anmelden bei Facebook zukünftig eingeben muss.

Bild: dj

Auch Instagram bietet 2FA an. Diese findet sich in den Einstellungen unter «Privatsphäre und Sicherheit» --> «Zweistufige Authentifizierung».

Bild: dj

Bei Instagram kann man etwa SMS nutzen. Einfach die Telefonnummer eingeben und die Einrichtung abschliessen.

Bild: dj

Wichtig bei allen 2FA-Methoden sind die Wiederherstellungscodes. Diese sollte man sich notieren, um auch bei Verlust eines Geräts oder einer Telefonnummer noch auf einen Dienst zugreifen zu können.

Bild: dj

Kurz noch zu Apple. Die 2FA wird bei Einrichtung eines neues iOS-Gerät eingeschaltet und lässt sich in der Regel auch nicht wieder abschalten. Loggt man sich auf einem neuen Gerät in den Apple-Account ein, kommt auf einen bestehenden Gerät ein Popup mit der Bitte um Bestätigung. Die Ortslokalisierung ist hier allerdings nicht immer ganz zuverlässig.

Bild: dj