Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 301

Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

Pwned Passwords: Neuer Dienst macht geknackte Passwörter auffindbar

Bild: Fabian A. Scherschel, heise online

Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

Der unabhängige Sicherheitsforscher Troy Hunt hat seinen Passwort-Prüfdienst Have I Been Pwned erweitert: Man kann dort nun nicht nur nach geknackten Mailadressen beziehungsweise Benutzernamen, sondern nun auch direkt nach geknackten Passwörtern suchen. Der Dienst beantwortet die Frage, ob ein bestimmtes Passwort, etwa correcthorsebatterystaple, in einem bekannten Datenleck enthalten war (die Antwort ist in diesem Fall ja). Dem Dienst liegt momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde.

Da Angreifer an diese Passwörter gelangen und damit leicht Wörterbuchlisten für Bruteforce-Angriffe bauen können, empfiehlt Hunt, solche bereits kompromittierten Passwörter nicht zu verwenden. Dabei beruft er sich auf Richtlinien der US-Standardisierungsbehörde NIST, die eine ähnliche Empfehlung enthalten. Diese empfiehlt Web-Admins außerdem, entsprechende Passwörter beim Anlegen von Konten gar nicht erst zu akzeptieren. Wer etwas ähnliches in seiner Web-App umsetzen will, für den hält Hunt ein API bereit, mit dem Abfragen an seinen Dienst automatisiert werden können. Neben Passwörtern können über den Dienst auch SHA1-Hashes von Passwörtern abgefragt werden.

Die Webseite sagt dem Fragenden nur, ob das entsprechende Passwort in einem Leak gefunden wurde, das Hunt vorliegen hat. Welche Nutzerkonten zu dem Passwort gehören, hält Hunt geheim um die Nutzer zu schützen, die das Passwort verwendet haben. Der Forscher gibt außerdem zu bedenken, dass die Tatsache, dass er ein Passwort nicht in seinem Datensatz hat, nicht automatisch bedeutet, dass es sicher ist. (fab)

301 Kommentare

Themen:

Anzeige
  1. Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

    Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

    Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

  2. Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Finger weg von SHA-1: 320 Millionen Passwörter geknackt

    Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.

  3. Spambot nutzt 711 Millionen Mail-Adressen zur Malwareverbreitung

    Briefschlitz mit Aufschrift "No Junk Mail"

    Ein Spambot namens Onliner missbraucht rund 80 Millionen Mailserver-Logins, um Spam mit Banking-Malware in 630 Millionen Postfächern zu platzieren. Noch ist die Gefahr nicht gebannt; wer betroffen ist, kann dies jedoch per Online-Dienst herausfinden.

  4. Leaking-Plattform LeakedSource angeblich von Strafverfolgern hochgenommen

    Leaking-Plattform LeakedSource angeblich von Strafverfolgern hochgenommen

    Die Webseite LeakedSource ist offline. Dort konnten zahlende Kunden eine Datenbank mit über drei Milliarden Einträgen von gehackten Accounts inklusive Passwörtern diverser Web-Dienste einsehen.

  1. Hackerangriff: So schützt du deine Online-Konten

    Hacker haben es vor allem auf deine Online-Zugänge abgesehen. Wir zeigen dir, wie du deine Online-Konten vor Angriffen und Schäden schützt.

  2. Welche Browser unterstützen HTML5?

    Es gibt dutzende Web-Browser, die für unterschiedliche Zwecke gedacht sind. Aber welche unterstützen HTML5-Webseiten?

  3. Platform as a Service mit deis.io

    Platform as a Service mit deis.io

    Entwickler wollen ihre Software möglichst einfach dort haben, wo sie den Anwendern Nutzen bringt. Mit dem Modell der 12-Factor Apps und Deis Workflow steht eine Plattform bereit, die vieles an Bereitstellung und Betrieb automatisiert.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Luftschiff "Airlander 10" bei Havarie beschädigt

    Britisches Luftschiff reißt sich von Haltemast los

    Das Luftschiff "Airlander 10" hat sich von seinem Haltemast losgerissen und ist anschließend unsanft gelandet. Das Ausmaß der Schäden ist noch unklar.

  3. US-Einzelhändler wollen Teslas Elektro-Lastwagen testen

    US-Einzelhändler wollen Teslas Elektro-Lastwagen ausprobieren

    Unmittelbar nach der Vorstellung hat Tesla erste Interessenten für seinen elektrischen Lastwagen gefunden. Analysten trauen der Firma zu, den Markt umzukrempeln, obwohl bereits viele etablierte Konkurrenten in den Startlöchern stehen.

  4. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige