Die Seite haveibeenpwned.com hatte ich hier bereits im Blog vorgestellt. Auf der Webseite kann man prüfen, ob die eigenen Benutzerdaten bereits in irgendwelche geleakten Hack-Datensätzen vorkommen. In diesem Fall ist es dringend empfohlen die Passwörter zu ändern. Idealerweise verwendet man ein Passwort nicht doppelt, sondern vertraut auf Passwortmanager oder andere Mechanismen. Neben der Suche nach Accountnamen kann man nun auch nach geleakten Passwörtern suchen.
Geleakt ist ein Passwört, wenn es mal irgendwo einen Hack einer Webseite gab, bei welcher die Benutzerdaten inklusive Passwörter abgegriffen worden sind. Nach Eingabe des Passwortes bekommt man umgehend angezeigt, ob das Passwort bereits mal irgendwo kompromittiert worden ist. Allerdings ohne Angabe der Herkunft und des dazu gehörigen Benutzernamens. Derzeit werden über 300 Millionen Datensätze von diversen Hacks und Leaks durchsucht.
Webseitenanbieter können über eine API auf den Dienst zugreifen. Diese können dann beispielsweise die Anmeldung und Verwendung von gehackten Passwörtern verhindern. Als Betreiber eines Online-Dienstes würde ich aber auch davon absehen, die eingegebenen Passwörter der Nutzer erstmal zu einem anderen Webdienst, zwecks Prüfung, zu schicken.
Ob der Dienst eine gute Idee ist oder nicht, darüber bin ich unschlüssig. Ehrlich gesagt habe ich keine Ambitionen meine aktuellen Passwörter irgendwo einzugeben. Der zugrundeliegende Dienst gilt als vertrauenswürdig, aber auch dieser kann gehackt werden oder jemand schaltet sich dazwischen und schnüffelt die Kommunikation mit. Prüfen kann ich es sowieso nicht, ob die Daten nicht doch gespeichert werden. Die ursprüngliche Prüfung auf Accountnamen und E-Mail-Adressen ist da noch unbedenklicher, da dies oft öffentlich verfügbare Informationen sind. Maximal würde ich den Dienst nutzen, um neue Passwörter zu prüfen. Da Hacker gerne Wörterbuchlisten für Brute-Force-Angriffe verwenden, ist es sinnvoll keine geleakten Passwörter, wie “lazyhorse”, zu verwenden.
Wer aber einen Passwortgenerator verwendet, sollte auf sicheren Seite sein. Hier geht es zum Dienst.
Kleiner Funfact: hier die beliebtesten Standardpasswörter nach Land. Deutschland, Russland hat andere als Deutschland. Interessant.
