Pwned Passwords: Prüfe dein Kennwort

Publiziert am 4. August 2017 von Günter Born

SicherheitDer Sicherheitsforscher Troy Hunt hat einen neuen Dienst zur Überprüfung von Kennwörtern aufgesetzt. Man kann verifizieren, ob ein Kennwort schon mal in einem Datensatz von kompromittierten Anmeldedaten auftaucht.

Anzeige

Kennwort schon mal verwendet?

In den letzten Monaten sind ja größere Datenlecks, in denen Anmeldedaten samt Kennwörtern im Klartext enthalten sind, bekannt geworden. Wer ein neues Kennwort für eine Online-Anmeldung festlegt, sollte sich sicher sein, dass dieses nicht bereits in einem dieser Datensätze auftaucht. Denn dann muss davon ausgegangen werden, dass dieses Kennwort in einer Liste für Brute Force-Angriffe verwendet werden könnte.

Pwned Passwords

Der Sicherheitsforscher Troy Hunt hat einen neuen Dienst Pwned Passwords zur Überprüfung von Kennwörtern aufgesetzt. Ruft man die verlinkte Seite auf, lässt sich das zu überprüfende Kennwort eintippen. Der Dienst gibt dann an, ob das Kennwort bereits einmal in einer der Datenbanken auftaucht. heise.de schreibt hier, dass dem Dienst momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde liege. Bei einem Treffer sollte der Begriff nicht mehr in realen Anmeldedaten verwendet werden.

Die Pferdefüße

Erstes Problem bei diesem Ansatz: Man sollte niemals ein reales, zur Anmeldung verwendetes Kennwort in einem solchen Dienst eingeben. Denn man weiß nie, ob das nicht abgefischt wird. Troy Hunt weist auf der Seite auch darauf hin.

Man könnte sich behelfen, indem man nur Teilausdrücke eingibt. Mir ist bei einem Test aber aufgefallen, dass Kennwörter aus Wörterlisten bei einer kleinen Variation (z.B. ein . , _) im Namen als 'unbenutzt' gelistet werden. Bei einem Brute Force-Angriff dürfte es aber naheliegend sein, dass genau solche Variationen mit ausprobiert werden. Wer den Dienst verwendet, sollte das also im Hinterkopf behalten.

Ähnliche Artikel:
Check: Wurden die Identitätsdaten ausspioniert
Rambler: 91 Millionen Passwörter im Klartext geleaked
Cyber-Security-News (22. Januar 2017)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Pwned Passwords: Prüfe dein Kennwort

  1. Uwe Albrecht sagt:
    4. August 2017 um 10:06 Uhr

    Dieser Ansatz macht unter Sicherheitsaspekten nur Sinn, wenn das zu überprüfende Passwort schon vorher ausgelaufen (verändert) wurde und nie mehr verwendet werden soll. Ob nun gut gemeint, oder aus kommerzieller/staatlicher Hinterlist, dieser Ansatz ist nach meiner Meinung sonst sehr untauglich, um für mehr Sicherheit zu sorgen.

    Antworten
  2. Tim sagt:
    4. August 2017 um 17:40 Uhr

    Do not send any password you actively use to a third-party service – even this one!

    Öhhhmmm… aber… warum… dann… überhaupt?

    Versteh ich nicht!

    Ist das so ein Labortest, wie mit dem 4 jährigen Kindern, denen man ein Bonbon vor die Nase legt und dann allein mit dem Bonbon und der Kamera im Raum sitzen lässt, um zu sehen was schreckliches mit dem Bonbon passiert?

    Antworten
  3. Tim sagt:
    5. August 2017 um 14:55 Uhr

    Ist eigentlich wem aufgefallen, das es die geprüften Passwörter auch noch zum Download gibt…? Zwar nicht klartext aber …
    Man braucht nur etwas nach unten scrollen…

    Pwned… diese Bezeichnung des "Angebotes" trifft wie aufs Auge. Noch genialer als die AGB Aktion neulich…

    Sowas sollte man nicht bewerben, sondern davor warnen!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.