Microsoft gleicht Daten ab und findet Millionen unsicherer Passwörter
Mehr als 44 Millionen Passwörter für verschiedenste Microsoft-Dienste sind unsicher, weil sie von Nutzerinen und Nutzern mehrfach vergeben wurden.
Das hat das Unternehmen bei einem Abgleich von mehr als drei Milliarden Anmelde-Datensätzen für Dienste anderer Anbieter herausgefunden, die nach Hacker-Angriffen oder Datenlecks frei auffindbar im Netz kursieren.
Die Prüfung ist eine Momentaufnahme und umfasst nur die Fälle aufgespürter Mehrfachvergaben von Passwörtern aus dem Zeitraum Januar bis März 2019. Microsoft gleicht Kunden-Passwörter kontinuierlich mit geleakten Anmelde-Datensätzen ab und veröffentlicht die Ergebnisse in seinem Sicherheitsreport.
Microsoft erzwingt neue Passwörter
Und wie geht Microsoft mit betroffenen Privatkunden um? Das Unternehmen erzwingt nach eigenen Angaben einen Passwortwechsel. Das bedeutet, dass bei der Anmeldung ein Dialog zum Ändern des Passwortes angezeigt wird.
Die Microsoft-Prüfung veranschaulicht, warum Sicherheitsexpertinnen und -experten immer wieder davor warnen, Passwörter mehrfach zu verwenden. Nutzerinnen und Nutzer sollten stattdessen besser für jeden Dienst ein individuelles Passwort wählen.
Und wie soll man sich den Wust komplizierter Passwörter merken? Ganz einfach: Zugangsdaten lassen sich komfortabel mit einem Passwortmanager verwalten - beispielsweise mit dem im Firefox-Browser integrierten Manager oder mit einer Manager-Software wie dem Open-Source Programm Keepass. Für beide Lösungen gibt es auch Apps zur Smartphone-Nutzung.
Zweifaktor-Authentifizierung für die Extraportion Sicherheit
Alternativ oder - noch besser - zusätzlich ist bei Diensten die Aktivierung der Zweifaktor-Authentifizierung (2FA) in den Einstellungen empfehlenswert, wo immer sie verfügbar ist. Dann wird nach Eingabe des Passworts ein zweiter Code abgefragt. Dieser kann etwa per SMS übertragen oder über sogenannte Autenticator-Apps erzeugt werden.
Ein weiterer möglicher 2FA-Weg am Rechner sind sogenannte U2F-USB-Sticks, die beim Log-in angesteckt sein müssen und die Nutzerin oder den Nutzer identifizieren.