Pwned Passwords: Prüfe dein Kennwort

SicherheitDer Sicherheitsforscher Troy Hunt hat einen neuen Dienst zur Überprüfung von Kennwörtern aufgesetzt. Man kann verifizieren, ob ein Kennwort schon mal in einem Datensatz von kompromittierten Anmeldedaten auftaucht.


Anzeige

Kennwort schon mal verwendet?

In den letzten Monaten sind ja größere Datenlecks, in denen Anmeldedaten samt Kennwörtern im Klartext enthalten sind, bekannt geworden. Wer ein neues Kennwort für eine Online-Anmeldung festlegt, sollte sich sicher sein, dass dieses nicht bereits in einem dieser Datensätze auftaucht. Denn dann muss davon ausgegangen werden, dass dieses Kennwort in einer Liste für Brute Force-Angriffe verwendet werden könnte.

Pwned Passwords

Der Sicherheitsforscher Troy Hunt hat einen neuen Dienst Pwned Passwords zur Überprüfung von Kennwörtern aufgesetzt. Ruft man die verlinkte Seite auf, lässt sich das zu überprüfende Kennwort eintippen. Der Dienst gibt dann an, ob das Kennwort bereits einmal in einer der Datenbanken auftaucht. heise.de schreibt hier, dass dem Dienst momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde liege. Bei einem Treffer sollte der Begriff nicht mehr in realen Anmeldedaten verwendet werden.

Die Pferdefüße

Erstes Problem bei diesem Ansatz: Man sollte niemals ein reales, zur Anmeldung verwendetes Kennwort in einem solchen Dienst eingeben. Denn man weiß nie, ob das nicht abgefischt wird. Troy Hunt weist auf der Seite auch darauf hin.


Anzeige

Man könnte sich behelfen, indem man nur Teilausdrücke eingibt. Mir ist bei einem Test aber aufgefallen, dass Kennwörter aus Wörterlisten bei einer kleinen Variation (z.B. ein . , _) im Namen als 'unbenutzt' gelistet werden. Bei einem Brute Force-Angriff dürfte es aber naheliegend sein, dass genau solche Variationen mit ausprobiert werden. Wer den Dienst verwendet, sollte das also im Hinterkopf behalten.

Ähnliche Artikel:
Check: Wurden die Identitätsdaten ausspioniert
Rambler: 91 Millionen Passwörter im Klartext geleaked
Cyber-Security-News (22. Januar 2017)


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Pwned Passwords: Prüfe dein Kennwort

  1. Uwe Albrecht sagt:

    Dieser Ansatz macht unter Sicherheitsaspekten nur Sinn, wenn das zu überprüfende Passwort schon vorher ausgelaufen (verändert) wurde und nie mehr verwendet werden soll. Ob nun gut gemeint, oder aus kommerzieller/staatlicher Hinterlist, dieser Ansatz ist nach meiner Meinung sonst sehr untauglich, um für mehr Sicherheit zu sorgen.

  2. Tim sagt:

    Do not send any password you actively use to a third-party service – even this one!

    Öhhhmmm… aber… warum… dann… überhaupt?

    Versteh ich nicht!

    Ist das so ein Labortest, wie mit dem 4 jährigen Kindern, denen man ein Bonbon vor die Nase legt und dann allein mit dem Bonbon und der Kamera im Raum sitzen lässt, um zu sehen was schreckliches mit dem Bonbon passiert?

  3. Tim sagt:

    Ist eigentlich wem aufgefallen, das es die geprüften Passwörter auch noch zum Download gibt…? Zwar nicht klartext aber …
    Man braucht nur etwas nach unten scrollen…

    Pwned… diese Bezeichnung des "Angebotes" trifft wie aufs Auge. Noch genialer als die AGB Aktion neulich…

    Sowas sollte man nicht bewerben, sondern davor warnen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.