Für die Konten von rund 38 Millionen Nutzerinnen und Nutzern in Deutschland, Österreich und der Schweiz bedeutet dies einen verbesserten Schutz vor Fremdzugriffen und Datendiebstahl.
Bessere Passwörter durch quelloffene Prüf-Algorithmen
Die Passwort-Vergabe wurde technisch erweitert. Neue Passwörter werden jetzt anhand quelloffener Algorithmen wie zxcvbn geprüft. Damit erhält der Nutzer automatisiert eine Bewertung seines Passworts unter Berücksichtigung von Länge, Komplexität und Worthäufigkeit. Die Prüfergebnisse werden leicht verständlich im Passwort-Check von GMX und WEB.DE dargestellt.
„Zu viele Menschen nutzen nach wie vor Passwörter, die leicht erratbar sind oder auf einer Datensammlung im Darknet kursieren. Daher haben wir unsere Passwort-Richtline verschärft und führen automatisierte Prüfungen durch, um die Sicherheit der E-Mail-Postfächer zu erhöhen“, sagt Dr. Michael Hagenau, Geschäftsführer von GMX und WEB.DE.
Zu schwache Passwörter lehnt das System automatisch ab. Nutzerinnen und Nutzer erhalten konkrete Hinweise zur Festlegung eines besseren Passwortes. Im Rahmen der Prüfung werden Passwörter weder gespeichert noch an die Server der Anbieter übermittelt.
Abgleich mit über 5 Milliarden geleakten Passwörtern
Zur Verbesserung der Passwort-Empfehlungen werden vorgeschlagene Passwörter zusätzlich mit Datenbanken kompromittierter Logins abgeglichen. Projekte wie haveibeenpwned.com sammeln Datenbanken mit im Darknet gehandelten Login-Daten. Ein Abgleich mit über 5 Milliarden dieser Datensätze ermöglicht es GMX und WEB.DE, Nutzerinnen und Nutzer zu warnen, wenn ein gewünschtes Passwort bereits in der Vergangenheit von einem Datenleck betroffen war.
Zugriff nur noch von verifizierten Geräten
Zusätzlich sichern GMX und WEB.DE Logins künftig über die neue Funktion „Bekannte Geräte“ ab. Dabei muss die erste Anmeldung von einem bislang unbekannten Laptop oder PC einmalig in der Mail App auf dem Smartphone bestätigt werden. Setzt der User dabei den Haken „Auf diesem Gerät nicht mehr fragen“, gilt das neue Gerät als „bekannt“ und der nächste Login ist wie gewohnt mit E-Mail-Adresse und Passwort möglich. Diese Maßnahme verhindert unbefugte Logins von unbekannten Geräten. Denn wenn sich jemand von einem fremden Gerät einloggen will, erhält der Nutzer oder die Nutzerin eine Benachrichtigung und kann den Login-Versuch blockieren. Im Laufe des Sommers wird die Funktion „Bekannte Geräte“ für alle Nutzerinnen und Nutzer der GMX und WEB.DE Mail Apps für Android und iOS verfügbar sein.