Geklauten Passwörtern auf der Spur
Auch Telefonnummern oder Geburtsdaten
Ebenfalls schon mit einer Abfragemöglichkeit namens «Identity Leak Checker» dabei ist das Potsdamer Hasso-Plattner-Institut (HPI). Auch hier müssen E-Mail-Adressen angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.
Gibt es bei einem der Dienste einen Treffer, sollte das verbrannte Passwort geändert und nicht weiter verwendet werden - es sei denn man kennt den Leak bereits oder seine Entdeckung liegt schon sehr lange zurück und man ist sich sicher, das Passwort zwischenzeitlich ohnehin längst geändert zu haben.
Die Tatsache, dass ein Passwort in keiner der Datenbanken steht, bedeutet übrigens keinesfalls zwangsläufig, dass es grundsätzlich sicher ist. Ausführliche Informationen zum Erstellen starker, sicherer Passwörter kann man etwa beim Bundesamt für Sicherheit in der Informationstechnik (BSI) nachlesen. Ergänzend rät die Behörde zudem zum Aktivieren einer Zwei-Faktor-Authentifizierung (2FA), wo immer sie angeboten wird.
Stark und einzigartig
Da Hacker für einen Dienst erbeutete Anmeldedaten mit sehr hoher Wahrscheinlichkeit auch gleich bei mehreren anderen populären Seiten ausprobieren, gilt zudem: Passwörter sollten nicht nur stark, sondern auch für jeden einzelnen Einsatzzweck individuell sein - auch und vor allem da, wo keine 2FA-Absicherung angeboten wird. Als Hilfsmittel zum Merken verschiedener starker Passwörter rät das BSI zu Merksätzen und vor allem zu Passwortmanagern.
Besonders wichtig ist generell ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken.