Wie sicher sind Ihre Passwörter? Nicht besonders, wenn Sie Klassiker wie "123abc" verwenden oder auch nur ein starkes Passwort für alles. Der Königsweg sieht für jeden Dienst ein eigenes starkes Passwort vor – doch es kann trotzdem vorkommen, dass Ihre Nutzerdaten einfach von Hackern veröffentlicht werden. So ist es geschehen beim beliebten Programm Nitro PDF: Wie kürzlich bekannt wurde, ist eine gestohlene Datenbank mit den E-Mail-Adressen, Namen, IP-Adressen und Passwörtern von Nutzern durchgesickert. Die geleakte 14-GB-Datenbank enthält 77.159.696 Datensätze.
Nun wurden die gestohlenen Datensätze dem Web-Dienst Have I Been Pwned hinzugefügt. Durch Eingabe ihrer E-Mail-Adresse können Benutzer überprüfen, ob ihre Informationen bei diesem Datenleak ebenfalls kompromittiert wurden und im Internet durchgesickert sind. Dafür greift der Anbieter auf einen riesigen Datensatz bereits gehackter Konten zurück – insgesamt umfasst die Liste aktuell über 10 Milliarden Einträge.
Alternativ können Sie über Pwned Passwords diesen Datensatz nicht nur nach E-Mail-Adressen, sondern auch direkt nach Passwörtern durchsuchen. Damit lassen sich einige neue Erkenntnisse gewinnen, die Ihnen dabei helfen sollen, sicherer im Netz unterwegs zu sein. Wir erklären, wann und wie "Pwned Passwords" sinnvoll einzusetzen ist.
Passwort geklaut? Pwned Passwords verrät es
Cyber-Kriminelle nutzen oftmals die Brute-Force-Methode, um ein Passwort zu knacken. Dabei werden solange Buchstaben-, Zahlen- oder Wörterkombinationen ausprobiert, bis das richtige Kennwort "erraten" wurde. Das kann allerdings sehr zeitaufwändig sein und führt eigentlich nur bei simplen Passwörtern zum Ziel. Deshalb kommen alternativ auch oft Wörterbuchlisten zum Einsatz, mit denen feststehende Begriffe priorisiert durchprobiert werden können.
Oft werden diese Listen allerdings umfangreich ergänzt, etwa um Buchstabenkombinationen, die bereits einmal als Passwort verwendet und erbeutet wurden. Dann werden auch komplizierte Phrasen mit in die Liste aufgenommen. Die Folge: Selbst bei eigentlich sehr komplexen Passwörtern besteht die Gefahr, dass diese so geknackt werden können.
Via Pwned Passwords können Sie nun überprüfen, ob ein Passwort in dem Datensatz von über 10 Milliarden geklauter Login-Daten auftaucht. Dies bedeutet, dass es eventuell in eine Wörterbuchliste aufgenommen wurde und trotz aller Komplexität leicht zu knacken sein könnte. Schlägt die Anzeige in der Web-App also rot an, sollten Sie lieber ein anderes Passwort verwenden.
Web-App durchsucht über 10 Milliarden Datensätze
Haben Sie in Pwned Passwords ein Kennwort eingegeben, erhalten Sie als Rückmeldung entweder eine grüne oder eine rote Meldung. Grün bedeutet: Das Passwort ist noch in keinem der durchsuchten Datensätze zu finden gewesen. Springt die Anzeige auf rot, ist das Kennwort Bestandteil erbeuteter Daten - und damit nicht mehr sicher. Sollte das Passwort in irgendeiner Weise von Ihnen aktiv genutzt werden, sollten Sie Ihr Kennwort sofort ändern.
Übrigens: In unserem umfangreichen Passwort-Tutorial erklären wir auch, wie Sie schnell und unkompliziert bei verschiedenen Anbietern (Amazon, Gmail, GMX etc.) Ihr Kennwort ändern können.
Passwort-Manager prüfen Passwörter
Wenn Sie nicht gerade Gedächtnisweltmeister sind, wird es Ihnen recht schwer fallen, sichere Passwörter für jedes Ihrer Benutzerkonten im Kopf zu behalten. Einen Ausweg bieten Passwort-Manager. Die speichern sämtliche Zugangsdaten in einer verschlüsselten Datenbank ab, die Sie per Master-Passwort öffnen können. Sie müssen sich also nur noch ein starkes Passwort merken, den Rest übernehmen die Passwort-Manager.
Mehr oder weniger zum Standard ist es in den letzten Jahren geworden, dass Passwort-Manager die Passwort-Leaks von Have I Been Pwned zur Überprüfung der Passwort-Sicherheit einbinden. Wenn Sie zum Beispiel den beliebten Passwort-Manager KeePass nutzen, können Sie mit einem Plugin einen Passwort-Check realisieren. Bei der kürzlich veröffentlichten Neuauflage von KeePassXC ist der HIBP-Check sogar schon integriert.
Auch einige andere Passwort-Manager integrieren mittlerweile den Passwort-Sicherheitstest. HIBP arbeitet zum Beispiel eng mit dem Passwort-Manager 1Password zusammen, der im letzten CHIP-Test auf Platz 3 landete.
Quelle: 77 Millionen Nutzerdaten von PDF-Tool geleakt: So schützen Sie sich - CHIP