Auf einen Blick:
Auf der Website „Have I been Pwned“ darf jedermann kostenlos einen Datensatz von 320 Millionen geknackten Passwörtern durchsuchen.
Zu den geknackten Passwörtern zählen viele gewöhnliche Wörter. Aber auch ausgefeiltere Kombinationen aus Zahlen und Buchstaben finden sich unter den Treffern.
Taucht Ihr Lieblingspasswort in der Liste auf? Dann muss das nicht heißen, dass Sie schon gehackt worden sind. Aber es ist höchste Zeit, ein sichereres Passwort zu verwenden.
Vorsicht bei der Nutzung: Der Website-Betreiber empfiehlt es nicht, aktuell verwendete Passwörter in seinem Dienst einzugeben. Alternativ stellt er die Datenbank zum Download bereit.
Wie sicher ist mein Passwort? Bisher ließ sich diese Frage nur theoretisch beantworten. Gewissheit hatten Nutzer erst, wenn sie auch den Schaden hatten: Da war der Passwortschutz mangelhaft.
Datenschatz aus 320 Millionen Passwörtern
Ein neuer Passwort-Prüfdienst des Sicherheitsforschers Troy Hunt hilft Nutzern nun, ihr konkretes Sicherheitsrisiko noch vor dem Schadensfall einzuschätzen. Auf Hunts Website „Have I Been Pwned“ (IT-Englisch für: „Hat es mich erwischt?“) können Sie herausfinden, ob Ihr gewähltes Passwort schon einmal geknackt worden ist.
Das funktioniert so: Das zu prüfende Passwort geben Sie einfach in der Suchmaske auf der Website haveibeenpwned.com ein. Nun drücken Sie auf die Schaltfläche „pwned?“. Ihre Eingabe wird mit einem Datensatz von aktuell über 320 Millionen geknackten Passwörtern abgeglichen. Kommt als Ergebnis „Oh no – pwned!“, taucht das gesuchte Passwort in den Datenbanken geknackter Passwörter auf. Es sollte somit nicht verwendet werden.
Wir haben ein paar potenzielle Passwörter ausprobiert. Bei einigen haben wir zusätzlich Buchstaben durch ähnlich aussehende Zahlen ersetzt (o=0, i=1, e=3, s=5). Mit mäßigem Sicherheitserfolg. Hier die Beispiele:
- Schraubenzieher – geknackt
- Schraubendreher – nicht geknackt
- Vorschlaghammer – geknackt
- V0r5chlaghamm3r – nicht geknackt
- shopping123 – geknackt
- sh0pp1ng123 – geknackt
- DeineMutter – geknackt
- D31n3Mutt3r – geknackt
Was bedeutet es, wenn mein Passwort geknackt wurde?
Ein geknacktes Passwort heißt noch nicht automatisch, dass auch Ihr zugehöriges Benutzerkonto schon gehackt worden ist. Aber: Starten die Hacker einen Angriff auf den Dienst, bei dem Sie Ihr Nutzerkonto mit einem geknackten Passwort geschützt haben, ist die Wahrscheinlichkeit extrem hoch, dass Ihr Nutzerkonto bei der Attacke geknackt wird.
Übrigens: Einen kostenlosen Schnelltest, ob Ihre Nutzerkonten in den Datenbanken der Hacker auftauchen, finden Sie hier.
Denn Hacker greifen vorzugsweise mit ganzen Wörterbüchern und Listen bereits gehackter Passwörter an. So können sie innerhalb kürzester Zeit Millionen von Nutzerkonten hacken (Wie das genau funktioniert, lesen Sie hier).
Vorsicht bei der Nutzung des Prüfdienstes
Einen kleinen Haken hat der Passwort-Prüfdienst allerdings: Zur Sicherheit der Nutzer empfiehlt der Macher des Dienstes es nicht, aktuell genutzte Passwörter in die Suchmaske einzugeben. Denn eine Gewährleistung, dass der Dienst nicht erfolgreich von Dritten angegriffen wird – die dann bisher nicht gehackte Passwörter abgreifen –, kann auch der Macher der Website nicht geben.
Unser Tipp: Nutzen Sie den Prüfdienst nur, wenn Sie ohnehin vorhaben, das Passwort Ihres Nutzerkontos unmittelbar gegen ein stärkeres zu ersetzen. Zudem hilft der Dienst durch Ausprobieren dabei, abzuschätzen, welche Arten von Passwörtern in den Datenbanken auftauchen und somit unsicher sind.
Wie Sie sichere Passwörter erstellen, lesen Sie hier:
Oder nutzen Sie Passwortmanager: