Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.790 Produkten

Fabian A. Scherschel 309

Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

Bild: Fabian A. Scherschel, heise online

Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

Der unabhängige Sicherheitsforscher Troy Hunt hat seinen Passwort-Prüfdienst Have I Been Pwned erweitert: Man kann dort nun nicht nur nach geknackten Mailadressen beziehungsweise Benutzernamen, sondern nun auch direkt nach geknackten Passwörtern suchen. Der Dienst beantwortet die Frage, ob ein bestimmtes Passwort, etwa correcthorsebatterystaple, in einem bekannten Datenleck enthalten war (die Antwort ist in diesem Fall ja). Dem Dienst liegt momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde.

Anzeige

Da Angreifer an diese Passwörter gelangen und damit leicht Wörterbuchlisten für Bruteforce-Angriffe bauen können, empfiehlt Hunt, solche bereits kompromittierten Passwörter nicht zu verwenden. Dabei beruft er sich auf Richtlinien der US-Standardisierungsbehörde NIST, die eine ähnliche Empfehlung enthalten. Diese empfiehlt Web-Admins außerdem, entsprechende Passwörter beim Anlegen von Konten gar nicht erst zu akzeptieren. Wer etwas ähnliches in seiner Web-App umsetzen will, für den hält Hunt ein API bereit, mit dem Abfragen an seinen Dienst automatisiert werden können. Neben Passwörtern können über den Dienst auch SHA1-Hashes von Passwörtern abgefragt werden.

Die Webseite sagt dem Fragenden nur, ob das entsprechende Passwort in einem Leak gefunden wurde, das Hunt vorliegen hat. Welche Nutzerkonten zu dem Passwort gehören, hält Hunt geheim um die Nutzer zu schützen, die das Passwort verwendet haben. Der Forscher gibt außerdem zu bedenken, dass die Tatsache, dass er ein Passwort nicht in seinem Datensatz hat, nicht automatisch bedeutet, dass es sicher ist. (fab)

309 Kommentare

Themen:

Anzeige
  1. 1Password erkennt bereits geknackte Passwörter

    "Enter Password"

    1Password bietet eine neue Funktion zum Abgleich der im Internet bereits geknackten Passwörter. Dazu nutzt der Software-Hersteller die frei zugängliche Datenbank "Pwned Passwords".

  2. Have I Been Pwned: Auch Regierungen suchen nach Datenlecks

    Pwned Passwords: Auch Regierungen suchen nach Datenlecks

    Das freie Pwned-Passwords-Projekt ist mittlerweile enorm populär. Sogar Regierungen suchen automatisiert nach geleakten Mail-Adressen. Der Gründer zieht eine Zwischenbilanz.

  3. Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

    Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

    Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

  4. Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.

  1. Hackerangriff: So schützen Sie Ihre Online-Konten

    Hacker haben es vor allem auf Ihre Online-Zugänge abgesehen. Wir zeigen Ihnen, wie Sie Ihre Online-Konten vor Angriffen und Schäden schützen.

  2. Sicheres Passwort finden - so klappt's

    Passwort

    Ihre Passwörter sind einfallslos und damit unsicher? Dann lesen Sie sich unsere Tipps für ein sicheres Kennwort durch.

  3. Passwortmanager: So verwalten Sie Ihre Passwörter

    Sie können sich nicht alle Ihre Passwörter merken und möchten sie deshalb effektiv verwalten? Ein Passwortmanager kann Ihnen dabei helfen.

  1. Zahlen, bitte! Hubble-Weltraumteleskop blickt 13,4 Milliarden Lichtjahre tief ins All

    Zahlen, bitte! Ein 13,4 Milliarden Jahre tiefer Lichtblick in die universelle Kinderstube.

    Seit genau 28 Jahren liefert das Hubble-Weltraumteleskop im All beeindruckende Bilder und lichtete sogar ein Objekt in der unvorstellbaren Entfernung von 13,4 Milliarden Lichtjahren ab.

  2. Zahlen, bitte! 1,5 Millionen km entfernt – Lagrange-Punkt zwischen Erde und Sonne

    1,5 Mio. km

    Der innere Lagrange-Punkt L1 liegt auf der Verbindungslinie zwischen Sonne und Erde rund 1,5 Millionen Kilometer in Richtung Sonne. Dort startet die Sonde LISA Pathfinder gerade mit Experimenten zum Messen von Gravitationswellen.

  3. God of War angespielt: Einfach göttlich

    God of War angespielt: Einfach göttlich

    God of War ist ein bombastisches, packendes Actionspektakel für Solisten. Da stört es kaum, dass dieses Abenteuer nur noch wenig mit den Vorgängern zu tun hat.

  4. Prag streitet über Fahrradverbot im Stadtzentrum

    Zweirad

    Ein geplantes Fahrradverbot in Teilen des Prager Stadtzentrums empört die Freunde des umweltfreundlichen Verkehrsmittels. Betroffen wären auch viele Touristen. Die Bürgervereinigung Auto*Mat kündigte am Dienstag (24. April 2018) an, vor Gericht Klage gegen die Maßnahme einzureichen

Anzeige