Microsoft findet bei Abgleich 44 Millionen doppelte Passwörter

Microsoft findet bei Abgleich 44 Millionen doppelte Passwörter

Die Sicherheitsexperten von Microsoft haben öffentlich zur Verfügung stehende Account-Daten mit den Konten der eigenen Kundschaft abgeglichen und dabei eine unschöne Entdeckung gemacht: 44 Millionen Konten waren mit Passwörtern „geschützt“, die auch für andere Dienste genutzt wurden.

Für den Abgleich, der bereits im Frühjahr 2019 stattgefunden hat, nutzten die Microsoft-Leute eine Datenbank mit rund drei Milliarden gestohlenen Accounts, die frei im Internet angeboten wurde. Dabei wurden besagte 44 Millionen Übereinstimmungen gefunden. Das betraf sowohl private Microsoft-Accounts als auch Azure-Kundenkonten.

Die betroffenen Kunden wurden von Microsoft informiert. Inhaber privater Microsoft-Konten werden zum Zurücksetzen ihres Kennworts aufgefordert, bei den betroffenen Firmenkonten erfolgte eine Information an den zuständigen Administrator.

Microsoft verweist in diesem Zusammenhang auch auf eine Studie, wonach es für 52 Prozent aller Nutzer absolut üblich ist, Passwörter mehrfach zu verwenden oder sie nur geringfügig zu verändern (und wenn ihr mich fragt, dann hat mindestens die Hälfte der restlichen 48 Prozent bei dieser Umfrage gelogen).

Ich kann und muss in diesem Zusammenhang eindringlich warnen: Nehmt das nicht auf die leichte Schulter. So manches Microsoft-Konto ist ein Vermögen wert, wenn man bedenkt, dass alle digitalen Käufe bei Microsoft damit verknüpft sind. Genau so sorgfältig, wie ihr die entsprechende Summe Bargeld schützen würdet, solltet ihr auch auf euer Konto achten. Nutzt auf jeden Fall die 2-Faktor-Authentifizierung, damit ist euer Passwort für einen Angreifer grundsätzlich erst einmal wertlos.

Für alle, die denken „es wird schon nichts passieren“, kommt jetzt noch eine kleine Story, die ich kürzlich auf dem Schreibtisch hatte: Jemand hatte sein Microsoft-Konto nicht ausreichend geschützt. Das Kennwort wurde gestohlen und mit dem Konto wurde etwas „angestellt“. Was genau, wissen wir bis heute nicht, es war auf jeden Fall so schwerwiegend, dass Microsoft das Konto endgültig sperrte und alle damit verbundenen Käufe wie Xbox-Spiele etc verloren waren. Laut AGB ist das bei schweren Verstößen so vorgesehen. Ich konnte dem Betroffenen auch mit meinen Kontakten in die entsprechenden Support-Teams nicht helfen.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Ja das ist ein eines der beiden mühsamen Themen: Passwörter und Datensicherung. Bei beiden Dingen kann man die Leute garnicht oft genug darauf hinweisen und versuchen aufzuklären wie wichtig beides ist... Man muss ja auch garnicht jeden Dienst mit einer Zweifaktor-Authentifizierung versehen. Aber die wo man seine persönlichen Daten und Einkäufe hinterlegt hat sind einfach Pflicht.
    Leute eine Datenbank mit rund drei Milliarden gestohlenen Accounts, die frei im Internet angeboten wurde. Dabei wurden besagte 44 Millionen Übereinstimmungen gefunden.

    In der Summe ist das nicht viel.
    44 Millionen Konten waren mit Passwörtern „geschützt“, die auch für andere Dienste genutzt wurden.

    Hier hat man womöglich lediglich nach kompromittierte Zugangsdaten aus Benutzernamen und Passwortkombinationen gesucht. Einen Rückschluss, es handele sich ausschließlich um "Doppler", finde ich etwas gewagt. Es sei denn es handelt sich um eine Datenbank eins spezifischen Unternehmens. Bei 3Mrd. handelt es sich aber eher um eine Sammeldatenbank und in diesem Fall wurden 1,47% Übereinstimmungen gefunden.
    Edit:
    Die Ursprungsquelle lässt ebenfalls diesen Rückschluss nicht zu. Hier wird in der Einleitung, erster Absatz, auf die Gefahr der Mehrfachverwendung hingewiesen, im weiteren Verlauf des Artikels geht es um die Prüfung von Daten aus verschiedenen Quellen.
    The Microsoft identity threat research team checks billions of credentials obtained from different breaches (from multiple sources, including law enforcement and public databases) to look for compromised credentials in the Microsoft systems.
    Anschließend heißt es For the leaked credentials for which we found a match, we force a password reset.
    Ob es sich hier ausschließlich um Doppler handelt oder um "geklaute" Microsoft-Anmeldedate lässt sich nicht eindeutig daraus ableiten.
    Die "Story" ist echt übel. Gar nicht mal so sehr aus PW-Sicht, sondern IMO eher weil es aufzeigt wie abhängig man vom Anbieter ist.
    Mag ja blöd gelaufen sein und der User zumindest eine Mitschuld haben, weil er sein Konto nicht optimal geschützt hat. Aber das ist doch kein "faires Miteinander" (betrifft auf keinen Fall nur MS, sondern wird ja ähnlich von vielen Anbietern so gemacht). Es kann doch nicht sein*, dass ohne Angabe von Gründen ein Zugriff auf alles von jetzt auf gleich entzogen werden kann. Das steht doch in keinem Verhältnis.
    * Klar, laut AGB / Nutzungsbedingung schon
    Wäre das Konto besser abgesichert und trotzdem hätte jemand anders damit "was angestellt", dann wäre die Konsequenz doch mindestens gleich gewesen bzw. die User-Aussage "war ich nicht" wäre noch unglaubwürdiger. Und Möglichkeiten für Fremdzugriff wird es immer geben...
    Das ist, wie gesagt, kein reines MS-Problem, sondern ein Thema, was nahezu alle Onlinedienste betrifft. (Wie halt eben auch schwache / schlechte / unsichere PW.)
    Ich verstehe den Zusammenhang nicht. Weil ein Kasper, der selbst auf Nachfrage nicht sein Kontpo vernünftig schützen wollte, obwohl sein Konto kompromittiert wurde, sein Konto gesperrt bekommen hat, kaufst du Spiele nie digital?
    Fährst du auch kein Auto, weil einige Autofahrer ihren Führerschein wegen Geschwindigkeitsübertretung in großem Maßstab entzogen bekommen haben?
    Ich verstehe den Zusammenhang nicht. Weil ein Kasper, der selbst auf Nachfrage nicht sein Kontpo vernünftig schützen wollte, obwohl sein Konto kompromittiert wurde, sein Konto gesperrt bekommen hat, kaufst du Spiele nie digital?
    Fährst du auch kein Auto, weil einige Autofahrer ihren Führerschein wegen Geschwindigkeitsübertretung in großem Maßstab entzogen bekommen haben?

    Er kauft die Spiele digital nicht wegen dem Kasper, sondern wegen dem Krokodil, bei dem die ganzen Lizenen verknüpft sind. Wenn der unter geht, dann nützen dir die ganzen Lizenzen nix. Physisch aber schon
    Was bringen dir denn Weltuntergangsszenarien, wenn du gar nicht weißt, was passiert, wenn der jeweilige Store oder was auch immer "unter geht"? Bei Microsoft hatte man doch das interessante Beispiel mit dem Ebooks aus dem MS Store. Es gibt immer Möglichkeiten, Eine wäre, dass z.B. bei Steam ganz einfach der DRM entfernt wird. Aber, Hand aufs Herz, bevor Steam "unter geht" geht Windows unter. Und, dann wäre die gesamte Überlegung gleich wieder obsolet, denn, ohne Windows kannst du keine Windows-Spiele spielen.
    Ist doch Blödsinn, diese ganzen Gedankenspiele. Besonders bei den großen Playern gibt es immer irgendeine Möglichkeit, wie die Kunden ihre Produkte behalten.
    Leope
    Er kauft die Spiele digital nicht wegen dem Kasper, sondern wegen dem Krokodil, bei dem die ganzen Lizenen verknüpft sind. Wenn der unter geht, dann nützen dir die ganzen Lizenzen nix. Physisch aber schon

    Auch wenn er die Spiele des Krokodils wegen nicht kauft, weil dieser untergehen könnte, finde erste einmal kein Zusammenhang mit diesem Thema. Zumal ich ein solides Gebäude als Firmensitz vermute und weniger ein antiquiertes Dampfschiff.
    Wenn aber zu befürchten ist den eigenen Account zu verlieren, da man ihn nicht zu schützen vermag, ist die Ablehnung nachvollziehbar und ein Zusammenhang mit diesem Thema erkennbar.
    Sorry gab heute Clown zum Frühstück
    Was ist mir egal mein Passwort für Windows ist ganz Einfach 1234? Ich hab ne zweifaktor Authentifizierung. Weiß das Passwort relativ egal.
    Schlimm ist, dass diese Datenbank nicht sofort entfernt wird...
    Diebstahl und Datenlecks wird es immer geben, egal wie hoch die Absicherung ist. Man kann nur die Minimierung des Risikos anstreben, die wichtigen Grundregeln einhalten und mit hellem Verstand und offen Augen incl. Bauchgefühl im Internet unterwegs sein, oder komplett offline bleiben.
Nach oben