Dropbox hat den Diebstahl von 70 Millionen Passwörtern zugegeben. Das ist aber nur ein Vorfall von Vielen, alleine in diesem Sommer. Dabei könnten Nutzer sich besser schützen. Aber auch Entwickler müssen umdenken.

Stuttgart - Seit Tagen wird im Netz darüber spekuliert, nun hat Dropbox – einer der größten Anbieter von Speicherplatz im Netz – den Diebstahl von knapp 70 Millionen Nutzerpasswörtern zugegeben. Sie seien vermutlich bereits 2012 entwendet worden, so das Unternehmen. Betroffene Nutzer seien bereits informiert und deren Passwörter zurückgesetzt worden. Das allerdings kann für einige schon zu spät sein. Denn oft wählen Internetnutzer die gleiche Kombination aus Passwort und Nutzername für verschiedene Dienste, weshalb Hacker einmal erbeutete Daten auch für andere Dienste ausprobieren – häufig mit Erfolg. Auf diese Methode führte Dropbox bereits 2012 einige gehackte Konten zurück. Und offenbar hatte es peinlicherweise auch einen Mitarbeiter erwischt. Die Hacker hatten in seinem Account wohl weitere Passwörter von Kunden gefunden.

 

Der Vorfall ist nur einer von vielen: Viele erinnern sich sicher an den Ebay-Hack im Mai 2014, als 145 Millionen Zugangsdaten geklaut und alle Nutzer aufgefordert wurden, ihr Passwort zu ändern. Doch allein diesen Sommer sind mindestens drei weitere, umfassende Fälle von Passwort-Diebstahl bekannt geworden: im Mai hat ein Hacker im Darknet 117 Millionen Passwörter des Karrierenetzwerkes LinkedIn zum Verkauf angeboten. Ebenfalls im Mai bot ein anderer Hacker 427 Millionen Passwörter des Dienstes MySpace an, und wenige Tage danach gab Tumblr zu, dass die 65 Millionen Passwörter, die ebenfalls im Netz feilgeboten wurden waren, 2013 gestohlen wurden. „Es gibt zwei Sorten von Unternehmen“, lautet eine viel zitierte Netz-Weisheit: Jene, die gehackt worden sind und jene, die noch nicht wissen, dass sie gehackt worden sind.

Lesen Sie auch

Fataler Hang zu schwachen Passwörtern

Sind wir den Hackern also auf Gedeih und Verderb ausgeliefert? Sicherheitsforscher betonen immer wieder, dass Nutzer sich besser schützen könnten – zum Beispiel mit besseren Passwörtern. Als 2009 ein Hacker die Datenbank der Spiele-Plattform „Rockyou“ knackte und 32 Millionen Passwörter ins Internet stellte, wurde offenbar, wie wenig Mühe sich manche dabei geben. Fast 300 000 verwendeten das Passwort „123456“, jeweils rund 80 000 „12345“ und „123456789“, 60 000 hatten „password“, 50 000 „iloveyou“ gewählt.

Ein zweiter wichtiger Tipp: Nicht die gleichen Passwörter für verschiedene Dienste nutzen. Doch diese Forderung stellt die Nutzer vor Probleme. Viele Menschen müssen Anmeldedaten für mehr als 30 Internetdienste managen. Die Lösung ist meist, entweder schwache Passwörter zu verwenden, die sie sich immerhin merken können. Oder ein starkes Passwort, das dafür für mehrere Dienste genutzt wird. Beides spielt Hackern in die Hand.

Manche Regeln sind Unsinn

Deshalb sollten auch Informatiker umdenken und den Menschen und seine Fähigkeiten ernst nehmen, fordert Matthew Smith, Leiter der Arbeitsgruppe Usable Security and Privacy an der Uni Bonn: „80 Prozent gelebte Sicherheit sind besser als 100 Prozent Sicherheit, die keiner nutzt.“

Einige der vermeintlich unumstößlichen Regeln seien Unsinn, so Smith – etwa, dass Nutzer ihr Passwort alle paar Wochen ändern müssen: „Das verschlechtert die Nutzbarkeit und die Sicherheit.“ Die Betroffenen wählen dadurch noch schlechtere Passwörter, um sie sich merken zu können. Besser sei ein komplexes Passwort, das dann über eine lange Zeit genutzt wird, sagt Smith. Zudem sollte man die Menschen beraten, welche Webseiten ein besonders sicheres Passwort benötigen und welche mit einem einfacheren sicher genug sind. So müsse der Mailaccount am besten geschützt sein, denn über ihn kann man alle anderen Passworte ändern.