Pwned Passwords: Die sichere Entscheidungshilfe zur Passwortnutzung

Article by · 4. August 2017 ·

Der neue Dienst Pwned Passwords macht geknackte Passwörter auffindbar. Sicherheitsforscher Troy Hunt bietet schon länger den Dienst “Have I Been Pwned” an. Darüber konnte nach Mailadressen oder Benutzernamen gesucht werden, die in letzter Zeit gehackt wurden. Nun gibt es dort zudem die neue Funktion Pwned Passwords, die diese Suchmöglichkeit auch auf Passwörter erweitert, berichtet engadget.

Mit Pwned Passwords kann man herausfinden, ob das Passwort, das man gerne verwenden möchte, bereits einmal in gehackten Datensätzen vorgekommen ist. Nach der Eingabe eines Passworts zeigt die Webseite an, ob es bereits in einem der Leaks enthalten war. Gibt man ein sicheres Passwort ein, erscheint „Good News – no pownage found!“. Ist das Passwort in der Datenbank, sieht man ein rotes Feld mit „Oh no, pwned!“ Falls dies der Fall sein sollte, macht es Sinn, das Passwort zu ändern. Wird es tatsächlich als gefunden angezeigt, wäre es wahrscheinlich, dass die Login-Daten kompromittiert sind, denn es könnte in einer solchen Liste schon vorkommen, die bei Brute-Force-Attacken auf Webseiten und Dienste verwendet werden. Solche Passwörter gelten daher als unsicher und sollten nicht mehr genutzt werden. Zu Vergleichszwecken greift der Dienst dabei zurück auf einen Datensatz von 306 Millionen Passwörtern aus diversen Lecks.

Für Web-Administratoren, die sicherstellen wollen, dass nur sichere Passwörter verwendet werden, bietet Hunt eine API an, über die die Datenbank automatisch abgefragt werden kann. So können Neu-Registrierungen bei Webseiten kompromittierte Passwörter direkt ablehnen. Zudem ist es möglich, über den Dienst auch SHA1-Hashes von Passwörtern abzugefragen.

Hunt weist allerdings ausdrücklich darauf hin, dass allein die Tatsache, dass er ein Passwort nicht in seinem Datensatz hat, nicht automatisch bedeutet, dass es wirklich sicher ist.

Bildquelle: carlosalbertoteixeira, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

Flattr this!

4 Comments

  • comment-avatar

    Ichbins

    So einem Service würde ich NIE trauen. Sagen wir mal ich habe als PW irgendwo

    sauer826krautxyz!qbert99§

    Tja … per Bruteforce quasi unknackbar. Aber was, wenn so eine Seite auch PWs sammelt?

    • comment-avatar

      Bernd

      100%ige Zustimmung

  • comment-avatar

    Ben

    So eine Seite kann aber u.U. auch gefährlich sein, wenn der Betreiber alle Eingaben loggt und so noch eine Datenbank der “sicheren” (also nicht-gepwnten) PWs erstellt… Der User denkt, sein Passwort sei sicher, weil es ja bislang nicht in der abzufragenden Datenbank aufgetaucht ist, nutzt es demnach vermutlich für einen Service – und ist dann doch angreifbar.

    • comment-avatar

      Martin

      Genau das selbe fiel mir auch direkt ein. Besonders im Zusammenhang mit der Mail-Abfrage kann das sehr gefährlich sein.
      User fragt seine Mail ab und auf der anderen Seite sein Passwort und schwubs hat der Seitenbetreiber beide Daten….
      Aber war halt nur mein Gedanke.


Leave a comment