Wenn du den Google Chrome-Browser nutzt, um deine Passwörter zu speichern und sie geräteübergreifend zu synchronisieren – was eine Anmeldung in Chrome erfordert –, könnte es sein, dass du eines Tages eine unangenehme Nachricht in deinem Gmail-Konto entdeckst …
Durchschnittliche Lesezeit: ca. 6 Minuten
Massnahme erforderlich: Ändern Sie Ihre gehackten Passwörter
Wenn du wie ich oft zwischen verschiedenen Konten und Geräten hin- und herwechselst, kennst du sicherlich die gut gemeinten Warnungen, die dir die verschiedenen Dienste danach senden. Doch die folgende E-Mail war selbst für mich neu und sieht auf den ersten Blick verdächtig aus:
Dem Aussehen nach reiht sie sich in die der unzähligen Phishingmails ein, wie «letzte Mahnung», «Paket unzustellbar» oder «Ihre Rechnung». Doch bei genauerem Hinsehen – korrekte Absenderadresse, keine Rechtschreibfehler und keine hinterhältigen Links – steht fest: Die E-Mail ist echt.
[Weiterlesen: Phishing verstehen – wie du Betrügereien erkennst und vermeidest]
Wenn du eine ähnliche E-Mail erhältst und unsicher bist, ob sie tatsächlich von Google kommt, klicke keinen der Links an. Gehe stattdessen direkt zu https://myaccount.google.com/security-checkup. Dort wird sich dir dann ein ähnliches Bild wie dieses bieten:
Das Farbschema macht es deutlich, Grün bedeutet «alles in Ordnung», Gelb «sollte kontrolliert werden» und Rot «dringend handeln».
Wo wir gerade einmal hier sind, sehen wir uns die möglichen Optionen etwas genauer an.
Meine gespeicherten Passwörter
Hier kannst du überprüfen, ob und welche Passwörter, die du benutzt, gehackt wurden, welche Passwörter weiterhin gefährdet sind und welche zu schwach sind. Du kannst dann entsprechende Massnahmen ergreifen, um deine Sicherheit zu verbessern
Meine Geräte
Hier siehst du eine Liste der Geräte, die mit deinem Google-Konto verbunden sind. Du wirst auch über Geräte informiert, die du längere Zeit nicht mehr benutzt hast, und es wird empfohlen, diesen den Zugriff auf dein Google-Konto zu entziehen. Wenn du den Verdacht hast, dass unbefugte Personen Zugang zu deinem Konto haben, solltest du diese Liste überprüfen und im Zweifelsfall das betreffende Gerät entfernen sowie das Google-Passwort ändern (wie das geht, findest du hier oder im nächsten Schritt) und die Zwei-Faktor-Authentifizierung (übernächster Punkt) aktivieren.
Letzte sicherheitsrelevante Aktivität
Hier siehst du Anmeldungen und Verknüpfungen, die hoffentlich nur du vorgenommen hast. Wenn du die «Bestätigung in zwei Schritten» aktiviert hast, solltest du auf der sicheren Seite sein, es sei denn, du hast versehentlich Bestätigungscodes weitergeleitet.
Sollte dir jedoch irgendein Vorgang merkwürdig erscheinen, wähle «Diese Aktivität ist Ihnen nicht bekannt?». Damit meldest du alle angemeldeten Geräte ausser dem, das du gerade verwendest, ab und kannst im nächsten Schritt dein Passwort ändern.
Bestätigung in zwei Schritten
Hier kannst du eine zweistufige Sicherheitsabfrage einrichten (empfohlen) oder deaktivieren (nicht empfohlen). Ausserdem siehst du die Methoden, die du bereits verwendest, und kannst sie weiter anpassen.
Zugriff durch Drittanbieter-Apps
Im letzten Abschnitt schliesslich siehst du, welchen Apps und Diensten du Zugriff auf dein Konto und deine Daten gewährt hast, und kannst diesen bei Bedarf entziehen. Wenn du hier verdächtige Apps oder Websites entdeckst, entferne die Berechtigungen und ändere auch in diesem Fall dein Passwort.
Gehackte Passwörter ändern
Doch nun zurück zum gehackten Passwort. Klicke «Zum Passwortcheck» und gib im Anschluss das Passwort dein Ihr Google-Konto ein.
Nachdem du den Passwortcheck durchgeführt hast, wird dir eine Statistik angezeigt. Sie zeigt dir, wie viele Passwörter du in Chrome verwaltest, welche davon gehackt wurden, welche Passwörter du mehrmals verwendest und welche Passwörter du durch stärkere ersetzen solltest.
Erweitere die Ansicht für den jeweiligen Oberbegriff – in meinem Fall das gehackte Passwort – und klicke auf «Passwort ändern». Du wirst auf die betroffene Website weitergeleitet. Dort loggst du dich mit deinem bisherigen Passwort ein und suchst im Anschluss die Einstellung zum Passwort ändern. Diese befindet sich meist unter Punkten wie «Konto», «Einstellungen», «Sicherheit» oder «Account». Spätestens jetzt wird klar, wie wichtig und zeitsparend starke, automatisch erzeugte Passwörter und eine gute Passwortverwaltung sind.
In meinem Fall betraf das gehackte Passwort eine 2019 eingestellte Website – ein Fluch aus der Vergangenheit, als Passwörter noch simpel waren. Dieses Passwort liess sich nicht mehr ändern. Was sich aber ändern liess und ich schleunigst ändern musste, waren die Anmeldedaten auf den Seiten, für die ich das gehackte Passwort auch verwendete, denn auch das zeigt der Passwortcheck an.
Neben «Passwort ändern» hast du noch die Möglichkeiten, dir das Passwort anzeigen zu lassen, es zu ändern oder es zu löschen. Bedenke jedoch, dass Änderungen unter dem Drei-Punkte-Menü nur die Passwörter betreffen, die bei Google gespeichert sind und nicht die, die auf den unterschiedlichen Websites für dein Benutzerkonto abgelegt sind. Das Benutzerkonto von einer Website zu entfernen, ist immer dann ratsam, wenn du diese über einen langen Zeitraum nicht mehr besucht hast und auch nicht mehr besuchen möchtest. Hier musst du dich zuerst auf der Website anmelden und die Funktion «Account löschen», «Konto löschen» oder ähnlich suchen.
In meinem Fall habe ich das Passwort aus meinen gespeicherten Passwörtern entfernt, da ich es für keine weitere Anmeldung mehr benutze und die dazugehörige Website nicht mehr existiert.
Tipp: sichere Passwörter und Smartphone-Apps
Nachdem du nun sämtliche schwachen und wiederverwendeten Passwörter in deinem Webbrowser durch kryptische sichere ersetzt hast, taucht nun ein neues Problem auf. Oft werden diese Zugangsdaten nicht im Browser des Geräts, sondern für Smartphone-Apps benötigt. Die neuen Zeichenkombinationen sind schwer zu merken und schwierig einzugeben.
Doch auch hier gibt es Abhilfe: Öffne Chrome auf deinem Smartphone und rufe das Menü «Einstellungen» über die drei Punkte unten rechts auf.
Du gelangst zu den Einstellungen des Chrome-Browsers. Dort wählst du «Passwörter».
Nun kannst du über das Suchfeld den entsprechenden Dienst ausfindig machen.
Hast du den entsprechenden Dienst gefunden, wähle ihn aus, tippe auf das gespeicherte Passwort und bestätige «Kopieren».
Kopiere abschliessend dieses Passwort in das Anmeldefeld der App. Geschafft!
Die Fleissarbeit, obsolete Passwörter zu entfernen
Das Beispiel zeigt, verwaiste Accounts sind tickende Zeitbomben. Daher ist es ratsam, in regelmässigen Abständen sowohl den Passwortcheck auszuführen als auch die Liste der bestehenden Passwörter nach obsoleten Anmeldedaten zu durchforsten, wenn du deine Passwörter im Webbrowser speicherst. Entferne diese tickenden Zeitbomben, indem du eine Liste deiner Passwörter über deinen Webbrowser aufrufst. Bei Chrome findest du sie, indem du über das Drei-Punkte-Menü «Einstellungen» wählst. Nun scrolle so weit, bis du unter «Automatisches Ausfüllen» «Passwörter» findest. Unter diesem Menüpunkt werden alle gespeicherten Zugangsdaten angezeigt. Du wirst überrascht sein, was sich dort alles tummelt. Mit jeder Abmeldung von einem Webdienst, den du nicht mehr benötigst, hast du ein potenzielles Sicherheitsrisiko entschärft.
Wenn du Microsoft Edge verwendest, ist der Weg dorthin gleich, allerdings heisst dort der Menüpunkt «Kennwörter».
Es ist eine mühselige Kleinarbeit, alle Einträge dort zu überprüfen, und vermutlich wirst du feststellen, dass einige Dienste schon länger nicht mehr existieren, oder dein Benutzerkonto mangels Aktivität bereits gelöscht wurde. Letzteres ist als proaktive Massnahme zum Schutz deiner Benutzerdaten positiv zu bewerten. Doch auch hier solltest du deine Liste der Kennwörter der Übersicht halber um diese bereinigen. Wenn du regelmässig das Verzeichnis deiner gesammelten Zugangsdaten aktualisierst, verringerst du deine Angriffsfläche für Cyberattacken und machst es auch deinen Hinterbliebenen mit deinem digitalen Erbe einfacher, was hoffentlich noch lange auf sich warten lässt.
Ein letztes Wort zum Thema Sicherheit
Selbst wenn wir die Zugangsdaten für unsere digitalen Mitgliedschaften gemäss Sicherheitsaspekten optimieren, sind sie immer nur so sicher wie das Gerät, auf dem sie sich befinden. Sichere auch dein Smartphone und deinen Computer, sodass nur du darauf zugreifen kannst. Wenn du einen PC verwendest, den nicht nur du benutzt, melde dich von den Webseiten und dem Browser ab, sobald du das Gerät nicht mehr benutzt oder es unbeaufsichtigt ist. Jedes Mal, wenn für einen Web-Dienst die Bestätigung in zwei Schritten möglich ist, solltest du diese auch aktivieren.
powered by Borlabs Cookie