Geknackte Passwörter ausfindig machen

Sicherheitsforscher Troy Hunt hat seinen Cyber-Hacking-Prüfdienst "Have I Been Pwned" um eine nützliche Funktion erweitert. Jetzt kann der Nutzer nicht nur überprüfen, ob seine E-Mail-Adresse auf einer oder mehreren Data-Breach-Listen aufgeführt ist, sondern auch, ob die eigenen Passwörter bereits im Darknet kursieren.

Dort werden die Kennwörter in Form von Listen gehandelt. Diese lassen sich laut Hunt leicht Wörterbücher für sogenannte Bruteforce-Angriffe zusammenstellen. Bei der Bruteforce-Methode wird einfach eine Liste von mögliche Passwörtern abgearbeitet respektive ausprobiert.

Hunt liegt eine dieser Passwort-Listen vor. Darin enthalten sind derzeit rund 306 Millionen Passwörter aus verschiedenen Sicherheitsvorfällen.

Mit dem Dienst auf Have I Been Pwned kann der Nutzer nun kontrollieren, ob das eigene Passwort in diesem Datensatz enthalten ist. Ist dies der Fall, sollte der betreffende Login umgehend geändert werden.

Findet sich das überprüfte Passwort auf der Leak-Liste, heißt das aber nicht unbedingt, dass der zugehörige Account gehackt wurde. Es besagt nur, dass das abgefragte Kennwort potenziell bei einem Bruteforce-Angriff eingesetzt werden könnte.

Hunt stellt die gesamte Liste der Passwort-Leaks auf seiner Seite zum Download bereit. Da jedoch einige der Passwörter persönliche Daten enthalten, werden sie nur als SHA1-Hash angezeigt. Die Listen können dadurch in andere Dienste integriert werden. Ändert ein Nutzer sein Passwort oder muss ein neuer Account angelegt werden, kann damit direkt überprüft werden, ob das gewünschte Passwort sich auf der Leak-Liste befindet.