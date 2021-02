Mit diesen Passwort-Monitoren können Sie das ganz einfach herausfinden. [...]

Es reicht nicht immer aus, sich ein starkes, einzigartiges Passwort auszudenken und es einfach in einem Passwort-Manager oder Browser zu speichern. Sie müssen wissen, ob und wann Ihr Passwort bei einer Passwortverletzung gestohlen wurde, damit Sie schnell genug handeln und das Passwort ändern können, bevor Ihre persönlichen Daten möglicherweise gefährdet sind. So geht’s.

Es ist schon einige Zeit her, seit die massiven Collections Breaches von 2019 buchstäblich Milliarden von E-Mail-Adressen und Passwörtern ins Web spülten und die Sicherheit der betroffenen Konten in Gefahr brachten. Das Problem, mit dem Nutzer damals konfrontiert waren, war die begrenzte Anzahl an Möglichkeiten, um zu erkennen, ob sie tatsächlich gefährdet waren. Heute gibt es viele Passwort-Überwachungsdienste, die aufdecken, ob Ihr Passwort gestohlen wurde. Viele sind so konzipiert, dass Sie schnell Maßnahmen ergreifen und sie ändern können.

Grundlegende Dienste zum Aufdecken von E-Mail-Verletzungen

Zwei seriöse Dienste zur Überprüfung dieser Informationen existierten bereits zum Zeitpunkt der Collections-Panne und tun es immer noch: HaveIBeenPwned und ein Dienst des Hass-Platner-Instituts in Potsdam, Berlin. Beide bitten Sie, Ihre E-Mail-Adresse (nicht Ihr Passwort!) einzugeben, und beide gleichen dann Ihre E-Mail-Adresse mit einer Datenbank bekannter Sicherheitsverletzungen ab.

Beide Dienste haben ihren Reiz. Der Ruf von HaveIBeenPwned zieht diejenigen an, die ihre Angriffe publik machen wollen, so dass die Meldung von Sicherheitsverletzungen auf der Website umfassend erscheint. Die Seite listet die Sicherheitsverletzungen auf, in die eine E-Mail-Adresse verwickelt war, zusammen mit allen dazugehörigen Informationen, wie z. B. Ihr Geschlecht oder Ihre Telefonnummer. Die Seite ordnet die Sicherheitsverletzungen nach dem betroffenen Dienst, nicht nach dem Datum. Warum ist das wichtig? Wenn Ihre E-Mail beispielsweise bei einer Sicherheitsverletzung im Jahr 2016 offengelegt wurde, ist es wahrscheinlich, dass Ihr Passwort seitdem geändert wurde. Wenn aber Ihre E-Mail und Ihr Passwort letzten Monat offengelegt wurden, sollten Sie sie sofort ändern.

HaveIBeenPwned liefert eine große Menge an Informationen in Bezug auf Sicherheitsverletzungen, aber es könnte besser organisiert sein (c) haveibeenpwned.com

HaveIBeenPwned veröffentlicht auch die Informationen zu Sicherheitsverletzungen für jede E-Mail-Adresse, was praktisch ist, um Freunde und Familie zu überprüfen, obwohl es nicht die datenschutzfreundlichste Lösung ist.

Der Dienst von HPI verfolgt einen anderen Ansatz. Er listet die Sicherheitsverletzungen nach Datum auf, zusammen mit einer Matrix, welche Informationen offengelegt wurden. Wenn Sie auf der Website eine E-Mail-Adresse eingeben, wird ein Sicherheitsbericht an diese spezielle E-Mail geschickt, zusammen mit einer farbkodierten Tabelle, die zeigt, welche Daten gefährdet sind und von welchem Verstoß sie stammen.

Das HPI sendet Ihnen eine Matrix, die zeigt, welche Informationen in Verbindung mit Ihrer E-Mail veröffentlicht wurden, geordnet nach dem neuesten Stand (c) Hass-Platner-Institut

Browser fügen kostenlos Passwort-Überwachung hinzu

Beide oben genannten Dienste zeigen jedoch nur an, ob eine bestimmte E-Mail-Adresse Teil eines Verstoßes war – nicht aber, ob ein Nicht-E-Mail-Benutzername – z. B. „billg“ – offengelegt wurde. In diesem Fall benötigen Sie einen vertrauenswürdigen Dienst, der sowohl Sie als auch die von Ihnen gewählten Passwörter kennt. Suchen Sie nicht nach zufälligen Seiten, um Ihre Passwörter zu „überprüfen“ – bleiben Sie bei ein paar vertrauenswürdigen Namen. (Beachten Sie auch, dass die Passwort-Überwachung ein kostenpflichtiger Dienst für die meisten Passwort-Manager ist – aber nicht für Passwort-Manager innerhalb eines Webbrowsers).

Google Password Checkup

Im Jahr 2019 fügte Google ein kostenloses Browser-Plugin für Chrome hinzu, das Sie warnt, sobald Sie sich auf einer kompromittierten Website angemeldet haben, wenn Ihre E-Mail oder Ihr Passwort kompromittiert wurden. Im Oktober 2019 begann Google mit der automatischen Überprüfung von Passwörtern auf Sicherheitsverletzungen und ab Chrome 79 mit der Überwachung Ihrer Online-Nutzung, um zu vermeiden, dass Sie „gephisht“ oder unter falschen Vorwänden dazu verleitet werden, Ihr Passwort preiszugeben.

Googles Passwort-Prüfung hat ein praktisches Dashboard, das anzeigt, ob Ihr Passwort kompromittiert wurde (c) Mark Hachman/IDG

Wenn Sie jetzt auf passwords.google.com gehen und sich authentifizieren, gibt Ihnen Googles Online-Passwort-Checkup ein schnelles Dashboard, das Ihnen anzeigt, welche Passwörter bei Sicherheitsverletzungen aufgedeckt wurden, welche über verschiedene Websites hinweg dupliziert wurden und welche mit komplexeren Passwörtern verbessert werden könnten, um zu verhindern, dass sie leicht geknackt werden, falls es zu einer Verletzung kommt. Es gibt auch Links zum Ändern der Kennwörter auf den Sites selbst. Dies funktioniert allerdings nur, wenn Sie die Passwörter über Google selbst gespeichert haben.

Firefox Lockwise

Firefox Lockwise, Teil des kostenlosen Browsers Mozilla Firefox, funktioniert auf eine etwas andere Art und Weise. Es bietet nicht die Empfehlungen, die Google bezüglich redundanter und schwacher Passwörter gibt, aber seine Passwort-Überwachungsfunktion funktioniert ansonsten ähnlich. Sie scheint auch unabhängig davon zu funktionieren, ob Sie ein Passwort innerhalb von Firefox gespeichert oder einfach Passwörter aus einem anderen Browser importiert haben. Wie Google muss es allerdings Ihr Passwort „kennen“, was voraussetzt, dass Sie es im Browser gespeichert haben.

Der einfachste Weg zu Lockwise führt über die Eingabe von about:logins in der Firefox-URL-Leiste.

Firefox Lockwise baut eine Passwort-Überwachung in den Firefox-Browser ein.

Wenn ein Passwort geleakt wurde, sehen Sie ein hellrotes Banner, das fragliche Konto und Passwort und einen Link, um zu dem fraglichen Konto zu springen. (Es können auch Konten angezeigt werden, die Sie bereits deaktiviert haben, wie es bei einer LinkedIn-Verletzung der Fall war, die mit einem früheren Arbeitskonto verbunden war).

Microsoft Edge-Kennwortmonitor

Letztes Jahr versprach Microsoft einen Passwort-Monitor für Microsoft Edge, und er wird bald als Teil von Microsoft Edge 88 eingeführt werden. Wie die anderen ähnlichen Dienste, die von anderen Browserherstellern angeboten werden, wird er kostenlos sein.

Edge führt einen Generator für komplexe Passwörter ein, und bald auch eine Passwort-Überwachung (c) Microsoft

Kostenpflichtige Passwort-Überwachung: Passwort-Manager

Wir haben bereits Passwort-Manager besprochen, die mit Abstand die bequemste Art sind, Passwörter zu verwalten. Unten finden Sie eine Übersicht, welche Passwort-Manager was in Bezug auf die Überwachung tun.

LastPass

Während LastPass eine robuste, kostenlose Version des Passwortspeicherdienstes anbietet, ist die Passwortüberwachung ein kostenpflichtiger Dienst, den LogMeIn für LastPass anbietet. LastPass behält das „Dark Web“ im Auge, falls ein Passwort nach außen dringt – aber es schickt Ihnen auch eine Benachrichtigung, sobald dies geschieht, etwas, was die Browserhersteller noch nicht tun. Ist diese Warnung die drei Dollar wert, die LastPass pro Monat für den Dienst verlangt? Wenn Sie Wert darauf legen, Ihre persönlichen Daten umgehend zu sichern, schon.

LastPass überwacht gegen eine geringe monatliche Gebühr das Dark Web auf verletzte Passwörter (c) LastPass

Dashlane

Auch Dashlane betrachtet die „Dark Web“-Überwachung als kostenpflichtigen Service und verlangt dafür 3,33 US-Dollar pro Monat.

1Password

1Password bietet keine kostenlose Version an, aber sein Basisdienst für 3,99 US-Dollar pro Monat beinhaltet das, was das Unternehmen „Watchtower“ nennt, das Sie auf kompromittierte Passwörter aufmerksam macht, sowie auf solche, die aktualisiert werden sollten, weil sie schwach sind. 1Password arbeitet tatsächlich mit dem HaveIBeenPwned-Dienst zusammen, um Ihre Passwörter (nicht Ihre E-Mails) mit der Datenbank der kompromittierten Passwörter abzugleichen. Aber als zusätzliche Sicherheitsmaßnahme sendet 1Password nur einen Teil Ihres Kennworts (oder genauer gesagt einen Teil des Kennwort-Hashes), sammelt alle potenziellen Übereinstimmungen und überprüft sie dann privat auf Ihrem Rechner.

Der Passwort-Überwachungsdienst Watchtower von 1Password (c) 1Password

Andere Passwort-Manager neigen dazu, kleine Gebühren für die Passwort-Überwachung zu verlangen, aber wer weiß? Es ist möglich, dass der konkurrierende Einfluss von Microsoft und Google, plus Mozilla, die Passwort-Überwachung in den nächsten Jahren wieder zu einem kostenlosen Dienst machen könnte.

*Als leitender Redakteur von PCWorld konzentriert sich Mark Hachman unter anderem auf Microsoft-Nachrichten und Chip-Technologie.