Bei jedem Dienst und jeder Website das gleiche Passwort zu verwenden, war noch nie eine gute Idee. Denn es reicht leider nicht, ein halbwegs langes und komplexes Passwort zu haben, es braucht auch mehrere davon. Benutzt jemand nur ein einziges und wird das geknackt, kann schnell das ganze digitale Leben abhanden kommen. Ein Beispiel dafür liefert gerade unfreiwillig der Mail-Anbieter GMX .

Bei diesem wurden in größerem Umfang Konten gekapert , um von ihnen Spam-Mails zu verschicken. Nach Angaben von GMX betrifft es ungefähr 3.000 der insgesamt 15 Millionen Nutzer.

Ursprünglich hatte es geheißen, dass die Passworte wohl mit einem sogenannten Distributed-Brute-Force-Angriff "erraten" worden seien. Dabei wird von vielen verschiedenen Rechnern aus versucht, zufällige Passwortabfragen zu starten, um das richtige zu finden. Das bedeutet, an jedem Account ganze Wörterbücher Wort für Wort zu testen. Im Zweifel dauert das aber lange oder ist kaum möglich, weil die Anbieter solche Angriffe erkennen und abblocken können.

Passwortlisten

Wie GMX nun mitteilte, wussten die Kriminellen offensichtlich viel besser Bescheid und mussten nicht tagelang testen. In einer schriftlichen Stellungnahme heißt es: "Eine groß angelegte Brute-Force-Attacke können wir nach aktuellem Stand ausschließen. Sehr wahrscheinlich ist, dass die Hacker eine Liste mit Passwort-Nutzernamen-Kombinationen vorliegen haben, mit der sie derzeit automatisiert auf gut Glück versuchen, auf E-Mail-Accounts zuzugreifen", so Leslie Romeo, Leiter für E-Mail-Sicherheit bei GMX.

Die Angreifer kannten die Passworte also längst und wussten, für welchen Account sie gelten. Möglich wird das, wenn Nutzer unvorsichtig werden. Denn so mancher hat tatsächlich nur ein Passwort, das er überall angibt.

In einer Umfrage , die der GMX-Schwester-Dienst Web.de in Auftrag gegeben hat, gaben fünf Prozent der Befragten an, sie würden nur ein einziges Passwort nutzen. Weitere 34 Prozent sagten, einige Passwörter verwendeten sie für mehrere Dienste gleichzeitig.

Das ist keine gute Idee. Dummerweise kommen immer wieder Passwortdatenbanken abhanden. Vom Dienst Yahoo Voice kursiert gerade eine Liste mit 450.000 Passwort-Mail-Kombinationen . Bei Formspring wurden 420.000 Passphrasen erbeutet und ins Netz gestellt . Da die Anmeldung bei solchen Angeboten immer über die Kombination Passwort und E-Mail-Adresse läuft, sind solche Listen der direkte Zugang zum Mailfach.