Zwangs-Reset: Microsoft findet 44 Mio. Nutzer unsicherer Passwörter

Von Christian Kahle am 06.12.2019 08:48 Uhr
41 Kommentare
Zahlreiche Inhaber von Microsoft-Accounts sollten die Zeit an den Feiertagen durchaus auch nutzen, um mal wieder die Login-Daten ihrer Konten zu ändern. Denn millionenfach sind die Passwörter deutlich weniger geheim, als so mancher annimmt.

Die Security-Experten Microsofts haben Nutzer-Datenbanken, die diversen Dienstebetreibern durch Hacks und Leaks abhanden kamen, mit den eigenen User-Informationen abgeglichen. Und im Ergebnis wurde klar, dass immerhin 44 Millionen Besitzer eines Microsofts-Accounts das gleiche Passwort verwenden, das sie auch bei anderen Angeboten verwenden. Und diese sind besonders stark für eventuelle Brute-Force-Attacken anfällig.

Den Microsoft-Mitarbeitern standen für ihren Abgleich rund drei Milliarden Einträge aus diversen Nutzerdatenbanken zur Verfügung. Diese hatte man von öffentlichen Datenbanken, in denen solche Informationen gesammelt werden, und auch von einigen Strafverfolgungsbehörden erhalten. Abgeglichen wurden die Informationen dann mit den normalen Microsoft-Accounts und auch den Verzeichnissen der Azure-Dienste.

Demo: So einfach ließen sich Passwörter über Cortana ändern

Pflicht-Reset

Microsoft nutzt die Erkenntnisse aus der Untersuchung aber nicht nur, um ein Bild von der Lage zu bekommen und Nutzer sensibilisieren zu können. Anwender, die bei den Redmondern das gleiche Passwort verwenden wie bei anderen Online-Angeboten sollen auch gezwungen werden, eine andere Kennung zu wählen. Ein Login ist dann teilweise also erst nach der Eingabe eines neuen Passwortes möglich, hieß es.

Das gilt zumindest für Nutzer, die wahrscheinlich privat ein Konto eingerichtet haben. Bei Usern, die zu einem großen Enterprise-Kontingent gehören, wird hingegen der zuständige Administrator kontaktiert. Denn diesem obliegt es hier, für die Sicherheit der Firmenkonten zu sorgen.

Wer allerdings nicht von Microsoft kontaktiert wird, ist noch lange nicht auf der sicheren Seite. Immerhin funktioniert der Abgleich nur, wenn in den geleakten Datenbanken die gleichen Hash-Funktionen wie bei Microsoft eingesetzt werden und ein Vergleich so möglich ist. Daher sollten auch Nutzer, die keine Aufforderung zur Passwort-Änderung bekommen, überlegen, ob sie wirklich bei allen Online-Services andere Passwörter verwenden. Erleichtert wird dies übrigens durch einen gut funktionierenden Passwort-Manager.

Download 1Password: Umfassender Passwortmanager für Windows
whatsapp
Jede Woche neu: Top-News per E-Mail
41 Kommentare lesen & antworten
Desktop-Version anzeigen
Hoch © 2000 - 2020 WinFuture Impressum Datenschutz