blog_05.08.2020

Passwortsicherheit überprüfen – mit «Have I Been Pwned?»

Mit dem kostenlosen Online-Dienst «Have I Been Pwned?» können Nutzerinnen und Nutzer prüfen, ob Hacker sich missbräuchlich Zugang zu ihren Passwörtern und Logins verschafft haben. Die Datenbank umfasst mittlerweile mehr als zehn Milliarden Einträge mit geleakten Account-Informationen.

Gegründet wurde der Web-Dienst «Have I Been Pwned?» (HIBP) im Dezember 2013 von dem Sicherheitsforscher Troy Hunt. Privatpersonen, Unternehmen und Behörden können damit auf einfache Weise prüfen, ob sie bzw. ihre Accounts Opfer von Hackern geworden sind. Erforderlich ist einzig die Eingabe der entsprechenden E-Mail-Adressen bzw. Passwörter. Die Eingaben werden mit einer konstant wachsenden Datenbank abgeglichen, die bisherige, geleakte Datensätze enthält. Auch der Bund arbeitet mit «Have I Been Pwned» zusammen, um nach Datenlecks in den eigenen Reihen zu suchen: das Informatiksteuerungsorgan des Bundes (ISB) hat direkten Zugriff auf die Datensätze in der Datenbank.

Über zehn Milliarden Einträge

Ein Zuwachs um rund 270 Millionen Datensätze, die aus einem Hack der Schreibcommunity Wattpad stammen, hat nun vor kurzem dazu geführt, dass die Anzahl der Einträge in der HIBP-Datenbank auf über zehn Milliarden angewachsen ist, wie Gründer Hunt in einem Blogbeitrag schreibt. Die gestohlenen Daten wurden gemäss der Online-Newsseite BleepingComputer durch die Hacker offenbar zunächst für 100'000 US-Dollar verkauft, tauchten später aber kostenlos auf Hackerplattformen auf.

Der Erfolg von HIBP ist beachtlich, was auch potenzielle Käufer auf den Plan gerufen hat. Nach zähen Verhandlungen sah Hunt jedoch von einem Verkauf des Dienstes ab, wie er schreibt. Das Angebot bleibt dadurch auch künftig unabhängig.

Noch etwas umfassender, als «Have I Been Pwned?», ist übrigens der vergleichbare Dienst des deutschen Hasso-Plattner-Institutes. Der von der Funktionsweise her praktisch identische «HPI Identity Leak Checker» umfasst bereits mehr als 11 Milliarden geleakte Datensätze.

Anti-Virenprogramme schützen auch vor Hackern

Wer verhindern will, dass eigene Passwörter und Logins durch Hackerangriffe kompromittiert werden, ist gut beraten, ein Virenschutzprogramm, wie Bitdefender, zu installieren. Solche Programme erkennen und blockieren bösartige E-Mails, die beispielsweise zu Phishing-Zwecken genutzt werden. Denn gerade Phishing ist unter Hackern eine beliebte Vorgehensweise, um in den Besitz geheimer Kontoinformationen und persönlicher Daten von Nutzerinnen und Nutzern zu gelangen.