Beinahe täglich geistern Meldungen über gestohlene Kundendaten und Passwörter durch die Nachrichten. Auch Microsoft, seines Zeichens einer der größten Technikkonzerne, hat davon gehört – und will nun reagieren. Sicherheitsexperten des Unternehmens wollen 44 Millionen unsichere Passwörter von Microsoft-Accounts ausfindig gemacht haben und diese nun zwangsweise ändern lassen.
Das Sicherheitsteam hat in letzter geleakte Daten mit Daten von eigenen Nutzerinnen und Nutzern abgeglichen und dabei in 44 Millionen Fällen Übereinstimmungen festgestellt. Die Betroffenen verwenden in ihren Microsoft-Accounts Passwörter, die sie auch bei anderen Diensten verwenden und die bei diesen anderen Diensten gestohlen wurden. Die Datendiebe könnten sich mit den anderswo entwendeten Daten problemlos auch in die Microsoft-Accounts der Betroffenen einloggen.
Microsoft will die eigenen Dienste nun mit Zwangsmaßnahmen absichern: Die Betroffenen sollen aufgefordert werden, ihre Passwörter zu ändern. Wird dieser Aufforderung nicht nachgekommen, soll der Zugriff auf die Microsoft-Dienste nicht möglich sein. Bei betroffenen Unternehmenskonten soll der Administrator informiert werden und seinerseits für eine Passwortänderung sorgen.
Microsoft gab außerdem Sicherheitstipps heraus: Empfohlen wird die Verwendung eines Passwortmanagers, mit dem der Überblick über etliche Passwörter behalten werden kann. So ist es problemlos möglich, bei jedem genutzten Dienst ein anderes Passwort zu nutzen, ohne die Passwörter durcheinanderzuwerfen oder zu vergessen. Außerdem rät Microsoft zur Multi-Faktor-Authentifizierung, also zu einem mehrstufigen Einloggverfahren.
Ferner wurde darauf hingewiesen, dass Nutzerinnen und Nutzer, die nicht zur Änderung des Passworts gezwungen werden, sich nicht in Sicherheit wiegen sollten: Der Abgleich mit den geleakten Daten funktioniere nur, wenn in den geleakten Datenbanken die gleichen Hash-Funktionen zum Einsatz kommen wie bei Microsoft.