https://www.onlinekosten.de/bilder/1/passwort_news_8310.jpg
© pmphoto / Fotolia.com

Microsoft: 44 Millionen unsichere Kunden-Passwörter

by

Microsoft hat herausgefunden, dass rund 44 Millionen Passwörter seiner Nutzer unsicher sind. Die Daten wurden bei anderen Diensten ebenfalls verwendet und dort gehackt. Viele Nutzer müssen jetzt ein neues Passwort vergeben.

Sie haben ein Xbox-Konto zum Spielen, nutzen Office-Dienste online oder mailen mit Adressen wie Live.com oder Outlook.com? Dann haben Sie ein Microsoft-Nutzerkonto und vielleicht ein Passwort-Problem.

Kunden-Passwörter mit geleakten Daten verglichen

Mehr als 44 Millionen Passwörter für verschiedenste Microsoft-Dienste sind unsicher, weil sie von Nutzerinnen und Nutzern mehrfach vergeben wurden. Das hat das Unternehmen bei einem Abgleich von mehr als drei Milliarden Anmelde-Datensätzen für Dienste anderer Anbieter herausgefunden, die nach Hacker-Angriffen oder Datenlecks frei auffindbar im Netz kursieren.

Die Prüfung ist eine Momentaufnahme und umfasst nur die Fälle aufgespürter Mehrfachvergaben von Passwörtern aus dem Zeitraum Januar bis März 2019. Microsoft gleicht Kunden-Passwörter kontinuierlich mit geleakten Anmelde-Datensätzen ab und veröffentlicht die Ergebnisse in seinem Sicherheitsreport.

Microsoft erzwingt neue Passwörter

Und wie geht Microsoft mit betroffenen Privatkunden um? Das Unternehmen erzwingt nach eigenen Angaben einen Passwortwechsel. Das bedeutet, dass bei der Anmeldung ein Dialog zum Ändern des Passwortes angezeigt wird.

Die Microsoft-Prüfung veranschaulicht, warum Sicherheitsexpertinnen und -experten immer wieder davor warnen, Passwörter mehrfach zu verwenden. Nutzerinnen und Nutzer sollten stattdessen besser für jeden Dienst ein individuelles Passwort wählen.

Und wie soll man sich den Wust komplizierter Passwörter merken? Ganz einfach: Zugangsdaten lassen sich komfortabel mit einem Passwortmanager verwalten - beispielsweise mit dem im Firefox-Browser integrierten Manager oder mit einer Manager-Software wie dem Open-Source Programm Keepass. Für beide Lösungen gibt es auch Apps zur Smartphone-Nutzung.

2FA für die Extraportion Sicherheit

Alternativ oder - noch besser - zusätzlich ist bei Diensten die Aktivierung der Zweifaktor-Authentifizierung (2FA) in den Einstellungen empfehlenswert, wo immer sie verfügbar ist. Dann wird nach Eingabe des Passworts ein zweiter Code abgefragt. Dieser kann etwa per SMS übertragen oder über sogenannte Autenticator-Apps erzeugt werden.

Ein weiterer möglicher 2FA-Weg am Rechner sind sogenannte U2F-USB-Sticks, die beim Log-in angesteckt sein müssen und die Nutzerin oder den Nutzer identifizieren.