Troy Hunt, ein unabhängiger Sicherheitsforscher, hat seinen Passwort-Prüfdienst Have I Been Pwned erweitert. Nun ist es möglich direkt nach geknackten Passwörtern zu suchen. Vorher konnten Nutzer nur nach Mailadressen beziehungsweise Benutzernamen suchen.

Anschließend beantwortet der Dienst die Frage, ob ein bestimmtes Passwort in einem bekannten Datenleck enthalten war. Momentan liegt dem Dienst ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde.

Hunt empfielt bereits kompromittierte Passwörter nicht zu verwenden, da Angreifer an diese Passwörter gelangen und damit leicht Wörterbuchlisten für Bruteforce-Angriffe bauen könnten. Zusätzlich empfiehlt er Web-Admins, entsprechende Passwörter beim Anlegen von Konten gar nicht erst zu akzeptieren.

Dem Fragenden sagt die Webseite nur, ob das entsprechende Passwort in einem vorliegenden Leak gefunden wurde. Um die Nutzer zu schützen, hält Hunt die Nutzerkonten, die zu dem Passwort gehören, geheim. Die Tatsache, dass ein Passwort nicht in seinem Datensatz ist bedeutet nicht automatisch, dass ein Passwort sicher ist, gibt der Forscher zu bedenken.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE