Was genau ist Collection #1 und was ist passiert?

Am 18. Januar 2019 berichteten die Medien über eine sehr große Sammlung von Zugangsdaten in der Form von E-Mail-Adressen und Passwörtern, die im Internet veröffentlicht wurden und unter dem Namen „Collection #1“ bekannt ist. Die Sammlung enthält ca. 733 Millionen E-Mail-Adressen und 21 Millionen Passwörter im Klartext. Unbekannte haben eine 87 Gigabyte große Sammlung aus über 12.000 einzelnen Dateien veröffentlicht. Nach ersten Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (kurz BSI) handelt es sich um Daten, die über einen längeren Zeitraum gesammelt wurden und zum Teil aus älteren Datendiebstählen stammen. Die Datensammlung ist dabei so aufgebaut, dass sie zum Identitätsdiebstahl (Credential Stuffing) genutzt werden kann. Das bedeutet, die Daten können über die Verbindung von Passwort und Login-Name bzw. E-Mail-Adresse verwendet werden um den Zugang auch auf anderen Webseiten zu erhalten, wenn die Login-Daten und das Passwort mehrfach verwendet wurden. Mittlerweile sind weitere Datensammlungen aufgetaucht die Collection #2 bis #5 genannt werden. Insgesamt belaufen sich die Daten auf über 600GB und es sind sagenhafte 2,2 Milliarden Zugangsdaten mit den dazugehörigen Passwörtern betroffen.

Wie können Sie prüfen, ob Ihre Daten enthalten sind?

Das BSI beruft sich auf die Angaben des IT-Sicherheitsforschers und Microsoft Regional Director für Australien Troy Hunt, der den Datensatz gefunden hat. Hunt hat die Daten analysiert und auf seiner Plattform https://haveibeenpwned.com/ eine Möglichkeit geschaffen, um die eigenen E-Mail-Adressen zu prüfen. Dabei wird nicht nur in dem aktuellen Datenfund geprüft, sondern in allen ihm bekannten. Nachdem man seine E-Mail-Adresse eingegeben hat, zeigt die Internetseite sofort an, ob diese E-Mail in einem ihm bekannten Datenfund enthalten ist. Eine Alternative zum Service von Troy Hunt bietet auch das Hasso Plattner Institut (HPI) in Potsdam mit dem Identity Leak Checker (Identitätsleckprüfer) an. Hier können Sie ebenfalls Ihre E-Mail-Adresse eingeben und es wird geprüft, ob Ihre Identitätsdaten erbeutet und veröffentlicht wurden. Neben dem Standort in Deutschland hat man beim HPI aktuell den Vorteil, dass neben den bisher bekannten Datensammlungen auch die vier neuen Collection #2 bis #5 enthalten sind. Allerdings wird das Ergebnis nicht online angezeigt. Das HPI sendet eine E-Mail mit den Prüfergebnissen an die abgefragte Adresse. Das hat den Vorteil, dass auch nur der Besitzer der E-Mail-Adresse die Ergebnisse sehen kann. Beim HPI wird zusätzlich auch geprüft, ob persönliche Daten wie die Postanschrift, Kreditkartendaten oder Kontozugänge mit der Adresse in Beziehung gebracht wurden.

Wie sicher ist mein Passwort und ist es bereits kompromittiert?

Troy Hunt bietet einen weiteren Service HIBP (Have I been pwned?) an, was so viel heißt wie „Wurde ich bereits bestohlen?“. Mit diesem Service können Sie prüfen, ob ein von Ihnen verwendetes Passwort gestohlen (geleakted) wurde. Die Passwörter liegen dabei nicht im Klartext vor und werden laut den Angaben von Hunt auch nicht gespeichert. Stattdessen werden Sie verschlüsselt (gehashed) an den Server übermittelt und lediglich dieser Hash Ihres Passwortes wird in der Datenbank gesucht. Allerdings werden im Ergebnis auch keine Informationen darüber angezeigt, bei welchem Dienst(en) das Passwort kompromittiert wurde.

Was mache ich, wenn ich betroffen bin?

Eine gute Information vorweg, nicht alle Daten sind komplett unbekannt. Sie stammen aus älteren Funden und sind bereits in anderen Datenbanken enthalten. Wenn Sie in regelmäßigen Abständen Ihre Passwörter wechseln und für jeden Service ein anderes Passwort einsetzen, ist das Risiko relativ gering. Viele Nutzer verwenden aber die gleichen Daten auf unterschiedlichen Plattformen. Damit laufen sie Gefahr, bei einer bekannten Kombination aus Login-Namen bzw. E-Mail- Adresse und Passwort auch auf anderen Diensten kompromittiert zu werden. Sollte Ihre E-Mail-Adresse oder Ihr Passwort bekannt geworden sein, sollten Sie unbedingt damit beginnen, Ihre Zugangsdaten zu ändern. Überlegen Sie, wo Sie diese E-Mail Adresse oder das Passwort noch verwendet haben und ändern Sie dieses in ein neues, sicheres Passwort.

Was sind sichere, starke Passwörter und wie werden sie erstellt?

Jedes Passwort kann geknackt werden! Aber es ist entscheidend, wie lang und wie komplex das Passwort ist. Einfache Passwörter wie „passwort“, „123456“ oder „hallo“ lassen sich in wenigen Sekunden knacken. Sie sind in den Top 10 der am meisten verwendeten Passwörter weltweit enthalten. „123456“ beispielsweise wurde in 42,2% der in Textform vorliegenden Passwörter gefunden, die vom HPI analysiert wurden.

Passwörter sollten mindestens 10, besser noch 15 Zeichen lang sein, Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen enthalten. Warum das so ist erkläre ich im Abschnitt, wie Passwörter geknackt werden. Je länger ein Passwort ist, desto schwerer kann es herausgefunden werden. So braucht ein herkömmlicher PC nur knapp eine Sekunde um zum Beispiel „w-b-s“ zu knacken, auch wenn es verschlüsselt wurde. Hingegen benötigt das gleiche Gerät bei dem Passwort „Williams-Beuren-Syndrom“ schon 754 Quadrillionen Jahre. Es ist also mit einem normalen Computer und passender Software fast unknackbar aber für andere Menschen vielleicht einfach zu erraten. Um ein sicheres und starkes Passwort zu erstellen, gibt es verschiedene Methoden. Wir sehen uns hier drei davon an, von denen ich glaube, dass sie für jeden einfach umzusetzen und zu merken sind.

Ersetzen- Methode:
Bei der Ersetzen-Methode werden einzelne Buchstaben eines Wortes durch Sonderzeichen oder Zahlen ersetzt. So kann man zum Beispiel aus einem „i“ eine 1 machen, aus einem „S“ ein $ oder aus einem „A“ eine 4. Das Wort „Williams“ könnten man zum „VVili4m$“ umbauen und hätte ein Passwort wofür ein PC ca. 8 Tage brauchen würde, um es zu entschlüsseln. Der Vorteil ist, dass man aus einem einfachen Wort ein sicheres Passwort erstellen kann. Allerdings muss man sich auch merken, welche Buchstaben man wie ersetzt.

Wort-Methode:
Bei dieser Methode reiht man Wörter, die nicht im Zusammenhang stehen aneinander. Zum Beispiel verwendet man die drei Wörter „Sonne“, „Kinder“ und „Baum“ und verbindet sie zu „SonneKinderBaum“. Fertig ist ein Passwort für das ein PC ca. 174 Millionen Jahre brauchen würde um es zu entschlüsseln. Einfacher kann man sich keine sicheren Passwörter ausdenken, aber man muss darauf achten, dass die Worte in keinem logischen Zusammenhang stehen (z.B. „SonnenUhr“ oder „KletterBaum“).

Satz-Methode:
Ich kenne viele Leute, die diese Methode verwenden, weil sie einfach zu verwenden ist und weil man sich die Passwörter gut merken kann. Bei dieser Methode denkt man sich einen Satz aus, z.B. „Ich schreibe heute einen Artikel für den Krümelkiste-App Blog.“. Jetzt verwendet man von jedem Wort den ersten Buchstaben und alle Zahlen und Sonderzeichen. Heraus kommt „Ish1AfdK-AB“. Für dieses Passwort würde ein normaler PC ca. 18.000 Jahre brauchen um es zu knacken. Das Risiko dieser Methode ist allerdings, dass unter Umständen ein zu kurzes Passwort entsteht.

Bei all diesen Methoden dürfen Sie aber die wichtigste Regel nicht vergessen. Verwenden Sie niemals das gleiche Passwort bei anderen Diensten! Denn, wenn das Passwort bei einem Dienst kompromittiert wird, sind alle anderen Dienste auch nicht mehr sicher. Aber auch hierfür gibt es einen einfachen Trick. Ergänzen Sie einfach das Passwort um ein Kürzel, das den Dienst beschreibt. Das Beispiel der Satz- Methode würde für YouTube „Ish1AfdK-ABYouT“ und für Instagram „Ish1AfdK-ABInst“ heißen. Nebenbei erhöht man mit dieser Methode auch die Komplexität des Passwortes. Der Vorteil dabei ist, dass Sie für jeden Dienst ein eigenes, sicheres Passwort haben, was Sie sich trotzdem gut merken können.

Wie kann man prüfen, ob ein Passwort sicher und stark ist?

Dafür gibt es im Internet einen Service der mecodia Akademie den man unter CheckDeinPasswort.de erreichen kann. Bitte vergessen Sie dabei nicht, jedes Passwort kann entschlüsselt werden. Es ist nur eine Frage der Zeit, wie lange ein Angreifer dafür benötigt. Also machen Sie es ihm so schwer wie möglich.

Wie merkt man sich die vielen Passwörter sicher und zuverlässig?

Ein Passwortmanager funktioniert wie ein Tresor, in den man den Zettel mit allen Passwörtern legt und den Sie bequem mitnehmen können. Die Zugangsdaten im Tresor werden dabei mit aktuell sicheren Methoden verschlüsselt. Wenn Sie sich auf einer Internetseite einloggen möchten, können Sie Ihre Zugangsdaten aus dem Tresor kopieren. Passwortmanager haben sehr häufig auch eine Funktion, sichere Passwörter zu erstellen und gleich im Tresor zu speichern. Wie bei einem richtigen Tresor brauchen Sie nur noch ein Master-Passwort, um an die gespeicherten Zugangsdaten im Tresor zu gelangen.

Wenn Sie die oben genannten Tipps annehmen und für jeden Dienst im Internet ein neues, starkes Passwort verwenden, werden Sie mit der Zeit viele Passwörter erstellen. Dabei kann man schnell den Überblick verlieren. Sie können die Passwörter aufschreiben und unter die Schreibtischunterlage schieben, aber dann sind sie auch nicht viel sicherer und unterwegs können Sie nicht darauf zugreifen und ein Einbrecher hätte sofort Zugriff auf alle Ihre Online Zugänge. Ein Passwortmanager kann dabei helfen, unzählige Passwörter effektiv zu verwalten.

Jetzt fragen Sie sich sicherlich, wenn Sie nur noch ein Master-Passwort brauchen, was macht das dann für einen Unterschied, wenn ich bei jedem Dienst das gleiche Passwort verwende? Stellen Sie sich vor, Ihr Passwort wird beim Dienst ABC gestohlen. Wenn Sie das Passwort auch beim Dienst XYZ und STU verwenden, können sich Angreifer sofort mit diesen Zugangsdaten anmelden und Sie aussperren oder in Ihrem Namen Waren bestellen. Wenn Sie aber für alle Dienste ein eigenes Passwort erstellt haben und dieses in einem Passwort Manager gespeichert haben, können die Angreifer, die Ihr Passwort von ABC gestohlen haben, es nicht auch bei den anderen Diensten verwenden. Das Master-Passwort schützt ja, die im Passwort-Manager gespeicherten Zugangsdaten vor den Augen Dritter z.B. einem Einbrecher, der Ihren Computer gestohlen hat. Der Einbrecher kann ohne das Master-Passwort nicht auf Ihre Zugangsdaten zugreifen. Sie haben ja für das Master-Passwort die Satz-Methode verwendet und hoffentlich nicht „123456“.

Es gibt verschiedene Varianten von Passwort-Managern. Es gibt Offline- und Online-Varianten. Bei den Offline-Varianten wie zum Beispiel 1Passwort oder KeePass liegen Ihre verschlüsselten Passwörter auf Ihrem Computer oder Ihrem Smartphone. Bei den Online-Varianten wie Dashlane oder LastPass werden die verschlüsselten Passwörter auf einem Server beim Anbieter oder in der Cloud gespeichert. Das erleichtert die Nutzung auf mehreren Computern oder Smartphones bzw. Tablets. Das hat natürlich auch den Nachteil, dass diese Server oder Cloud-Dienste ebenfalls gehackt werden können. Es gibt auch deutsche Anbieter wie Password Depot wenn Sie darauf Wert legen sollten.

Welche Variante für Sie die Bessere ist, müssen Sie für sich selbst entscheiden. Worauf kommt es Ihnen an? Wollen Sie Ihre Zugangsdaten auf mehreren Geräten nutzen oder haben Sie nur einen Computer? Es gibt viele Aspekte, die dabei eine Rolle spielen und bei jedem ein bisschen anders sind. Sehen Sie sich unterschiedliche Programme an und vergleichen Sie diese miteinander. Wenn Sie sich einmal für Einen entschieden haben, bleiben Sie ihm bestimmt eine ganze Weile treu.

Wie werden Passwörter geknackt?

Passwörter können grundsätzlich über zwei unterschiedliche Wege erbeutet werden. Auf der einen Seite können Passwörter von den Servern im Internet gestohlen werden, auf der anderen Seite versuchen Angreifer die Passwörter direkt von Euch zu erfahren. Im Folgenden schauen wir uns einmal an, wie Angreifer dabei vorgehen und was Sie dagegen machen können.

Offline-Cracking

Egal ob Sie ein E-Mail-Konto anlegen, sich bei Facebook, WhatsApp oder Twitter anmelden, ein Hotelzimmer buchen oder einfach nur ein Online-Spiel spielen. Überall benötigen Sie ein Benutzerkonto bei dem sie einen Anmeldenamen, meist eine E-Mail-Adresse, und ein Passwort eingeben müssen. Angreifer versuchen bei der ersten Methode an genau diese Informationen zu kommen. Sicherlich haben Sie in der Vergangenheit von Hackerangriffen auf die Hotelkette Marriott oder die Spieleplattform von Sony gehört. Aber auch andere große Firmen wie Adobe oder Dropbox waren in der Vergangenheit in den Schlagzeilen, weil sie Opfer von Hackerangriffen waren und Kreditkarten oder Zugangsdaten gestohlen wurden.

Normalerweise werden diese Daten nicht im Klartext gespeichert, sondern als sogenannter Hash verschlüsselt. Ein Hash versteckt das Passwort hinter einer Buchstaben- und Zahlenkombination, die über komplizierte mathematische Funktionen aus Ihrem Passwort berechnet wird. Diese Funktionen sind sogenannte Einwegverschlüsselungen. Ein Passwort, welches auf diese Weise verschlüsselt wurde, kann nicht mehr entschlüsselt werden.

Wie sieht ein Hash aus?

Ein SHA-1 Hash für das Passwort „Williams-Beuren-Syndrom“ lautet: f1a23a83975b871fec4086dde42d7fca3150152e

Das können Sie gern selbst ausprobieren. Suchen Sie im Internet nach einem Online-Hash Generator, der ein Text nach dem SHA-1 Algorithmus verschlüsseln kann und geben Sie das Wort ein. Sie sollten zu demselben Ergebnis kommen. Aber Sie werden keinen Service finden, der einen mit SHA-1 erstellten Hash wieder entschlüsseln kann.

Aber wie kann dann Ihr E-Mail-Provider erkennen, ob Sie das richtige oder falsche Passwort eingegeben haben? Sobald Sie Ihr Passwort eingegeben haben, wird daraus ein Hash gebildet und dieser wird mit dem gespeicherten Hash auf dem Server verglichen. Stimmen beide überein, werden Sie angemeldet.

Attacke mit roher Gewalt

Wie können Angreifer dann Ihr Passwort ermitteln? Auch hier gibt es mehrere Möglichkeiten. Die erste ist das Ausprobieren oder auch „Brute-Force-Attack“ genannt. Diese Methode bringt dem Angreifer garantierten Erfolg. Es ist nur eine Frage der Zeit. Dabei lässt ein Angreifer einen Computer möglichst viele Zeichenkombinationen auch Buchstaben, Zahlen und Sonderzeichen als Hash berechnen und vergleicht diese mit dem Hash aus den Zugangsdaten vom Server, welche er gestohlen hat. Findet er eine Kombination, weiß er auch wie das Passwort im Klartext heißt. Ein normaler Computer kann so in einer Minute mehrere Millionen Kombinationen durchspielen. Für das Wort „Fußball“ bräuchte der Computer ungefähr 2 Tage. Leistungsfähige Server, die man im Internet mieten kann, schaffen es deutlich schneller. Je länger Ihr Passwort ist, desto mehr Möglichkeiten muss der Angreifer berücksichtigen und der Computer benötigt deutlich mehr Zeit um es zu berechnen. Zahlen und Sonderzeichen erschweren es zusätzlich.

Wörterbuch-Attacke

Eine weitere Möglichkeit ist das Ausprobieren über Wörterbücher, eine sogenannte „Dictionary-Attack“. Je Länger das Passwort, desto schwerer ist die Berechnung mit der Brute-Force-Attack. Viele Internetnutzer machen es aber dem Angreifer unnötig einfach, indem sie einfache Wörter wie „Berlin“, „Sonnenschein“ oder „Passwort“ benutzen. Mit der Brute-Force-Attack dauert die Berechnung dieser Passwörter ziemlich lange. Deswegen nutzt ein Angreifer einfach ein Wörterbuch, Lexika oder Markenregister und probiert alle Begriffe einfach aus, indem er den Hash dafür bildet und mit dem erbeuteten Hash vergleicht. Benutzt ein Nutzer zum Beispiel „YouTube“ so kann ein Angreifer dieses Passwort in wenigen Minuten ermitteln. Ein weiteres Problem ist, dass viele Nutzer reale Namen als Passwörter verwenden. Viele ergänzen die Namen noch mit „01“ oder einem Ausrufezeichen. Angreifer wissen das und probieren diese Möglichkeiten natürlich auch aus. Angreifer sehen sich zum Beispiel eine Facebook Seite eines Nutzers an und sammeln Informationen wie Namen, Wohnort, Informationen zu den Kindern, Geburtstage oder immer wieder auftretende Bezeichnungen und probieren diese dann einfach aus, indem sie versuchen sich anzumelden.

Gib mir Dein Passwort!

Um an Passwörter zu gelangen, versuchen Angreifer aber auch die Informationen direkt von Ihnen zu bekommen. Sie werden nicht glauben, wie erfolgreich diese Methode sein kann. In den letzten Tagen wurde mehrfach in den Medien davor gewarnt, keine Wertgegenstände oder Geld an vermeintliche Polizisten zu übergeben. Ältere Leute wurden angerufen und es wurde gefragt, was sie an Wertgegenständen und Bargeld im Haus haben. Anschließend rief eine zweite Person an und gab sich als Polizei aus (unter Verwendung der Notrufnummer 110) und warnte genau diese Leute vor einer Betrugsmasche, die da gerade stattfindet. Die Anrufer, die sich als Polizei ausgaben, sagten den Leuten, dass gleich jemand vorbeikommt und die Wertgegenstände und das Bargeld abholt und es sicher verwahren würde. Bei dieser Vorgehensweise haben die Betrüger innerhalb weniger Tage über 300.000 Euro erbeutet und die Opfer haben den Betrügern sogar freiwillig das Bargeld und die Wertsachen übergeben.

Soziale Manipulation

Diese Vorgehensweise nennt sich „Soziale Manipulation“ oder auch „Social Hacking“ und läuft meist nach demselben Muster ab. Jemand schickt Ihnen eine E-Mail oder ruft Sie an und versucht Ihnen zu erklären, dass es ein Problem mit Ihrem Bankkonto oder einem Ihrer Accounts gibt. Natürlich müssen Sie ganz schnell reagieren, damit nicht noch größerer Schaden entsteht. Ein entsprechender Link zum überprüfen Ihrer Daten findet sich natürlich in der E-Mail oder Sie sollen Ihr Passwort für den Account dem netten Support oder Sicherheitsmitarbeiter am Telefon nennen, der dann Ihr Problem sofort für Sie überprüft und löst. Der Link aus der E-Mail führt Sie zu einer Seite im Internet, die tatsächlich so aussieht, wie die Ihrer Bank oder Ihres Accounts. Geben Sie hier Ihre Anmeldedaten ein oder geben „zur Sicherheit“ Ihre Kreditkartennummer mit Sicherheitscode ein, ist es auch schon passiert und Sie sind ein „Pishing-Opfer“ geworden. Angreifer, die auf diese Weise versuchen, sind heutzutage wirklich gut geworden. Die Internetseiten, auf die Sie gelockt werden sollen, sehen täuschend echt aus und sind meist auch mit einem Zertifikat signiert, welches Ihnen Sicherheit vermitteln soll. Es werden Ihnen Telefonnummern vorgetäuscht, die recht einfach über Internetdienste angemietet werden können.

Werden Sie sofort skeptisch, wenn jemand nach Ihren Zugangsdaten, Passwörtern oder Kreditkarteninformationen fragt. Seriöse Internetdienste werden Sie nie auf diese Art und Weise nach Kontoinformationen oder Zugangsdaten fragen. Natürlich müssen Sie Ihre Daten bei der Anmeldung beim Dienst angeben oder wenn Sie eine Bestellung bei einem Online-Händler auslösen, werden sicher auch Ihre Kreditkarten oder Bankdaten benötigt. Sie sollten aber in jedem Fall prüfen, ob diese Informationen jetzt auch tatsächlich benötigt werden. Seien Sie einfach immer aufmerksam und im Zweifel brechen Sie den Vorgang ab ohne Ihre Daten auf einer Internetseite einzugeben.

Schadprogramme

Eine weitere Möglichkeit, wie Angreifer Ihre Kreditkarten- oder Zugangsdaten direkt von Ihnen bekommen, sind Schadprogramme, die ohne Ihr Wissen auf Ihrem Computer oder Smartphone /Tablet installiert wurden. Diese Programme werden „Malware“ genannt und sie sollen Ihnen Schaden zufügen oder Ihre Daten stehlen. Meist installieren sich diese Programme beim Surfen im Internet oder bei der Installation von Programmen oder Apps, die von nicht vertrauenswürdigen Internetseiten stammen. Unter Malware versteht man Viren, Würmer oder ein Trojanisches Pferd, welches in der Regel nicht einfach Ihr Gerät kaputt machen will. Es geht vielmehr um die illegale Datengewinnung! Diese Programme sollen sich unbemerkt auf Ihrem Gerät bewegen und Passwörter auslesen. Außerdem sollen sie versuchen Informationen über weitere Geräte und Konten zu sammeln. Alle gesammelten Daten werden dann an den Angreifer übermittelt. Sie können sich am einfachsten davor schützen, indem Sie Programme und Apps immer von vertrauenswürdigen Quellen wie Chip Online oder dem Apple- oder Play Store herunterladen. Installieren Sie immer alle Updates für das Betriebssystem des Computers und aktualisieren Sie regelmäßig Ihren Virenschutz auf dem Computer und auf dem Smartphone / Tablet.

Der Schulterblick

Die letzte Methode um Ihr Passwort zu erfahren ist eine Methode, die sicher jeder von uns schon mal selbst (gewollt oder ungewollt) durchgeführt hat. Es ist die „Schulterblick-Methode“ (Shoulder Surfing). Hierbei handelt es sich um die einfachste, effektivste und häufigste Methode, um an Ihr Passwort oder PIN zu kommen. Jemand schaut Ihnen beim eingeben des Passworts oder beim entsperren Ihres Smartphones über die Schulter. Er kann einfach mitlesen, welches Passwort Sie eingeben. Für diese Methode braucht man kein IT-Wissen, man muss nur aufmerksam hinsehen. Bei einigen Smartphones kann man das Passwort auch durch ein Muster, welches man zwischen Punkten abfahren muss, entsperren. Dieses erkennt man sehr gut, wenn man in der Nähe steht. Liegt Ihr Smartphone mal kurz unbeaufsichtigt auf dem Tisch kann ein Angreifer das Muster auch leicht an den Wischspuren erkennen, die durch die Fettrückstände der Haut auf dem Display entstanden sind.

Fazit

Es gibt viele Möglichkeiten Zugangsdaten, Passwörter und Kreditkartendaten zu stehlen und leider gibt es keinen hundertprozentigen Schutz. Aber Sie können es den Angreifern schwer machen an Ihre Daten zu kommen. Geben Sie diese nicht leichtfertig aus der Hand und seien Sie immer wachsam! Sprechen Sie mit Ihren Kindern über das Problem und helfen Sie Ihren Kindern dabei, starke Passwörter zu verwenden. Mit der Satz-Methode geht das wirklich ganz einfach!

---

Quellen und weitere Informationen

Bundesamt für Sicherheit in der Informationstechnik (BSI)
https://www.bsi.bund.de

Zwei Artikel von t3n mit weiteren Informationen über Collection 1 – 5
https://t3n.de/news/773-millionen-passwoerter-1138337/
https://t3n.de/news/passwort-leaks-weiten-aus-22-1140387/

Informativer Artikel über den Datenfunde „Collection #1“ von Troy Hunt (englisch)
https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Heise Tipps und Tricks: Passwortmanager
https://www.heise.de/tipps-tricks/Passwortmanager-So-verwalten-Sie-Ihre-Passwoerter-3934582.html

Internetseite zum testen der Sicherheit von Passwörtern der mecodia GmbH
https://checkdeinpasswort.de/