Hacker klauen Passwörter oft nicht, um sie direkt zu verwenden, sondern verkaufen sie an andere weiter. Wer prüfen möchte, ob die eigenen Daten bereits auf diese Weise im Umlauf sind, hat nun eine weitere Möglichkeit: die Homepage "Pwned Passwords".
Auf der eingerichteten Webseite werden Sie nicht nach ihrem Passwort gefragt – man kann wahlweise Mailadressen oder Benutzernamen in eine Abfragemaske eintragen. Diese werden dann mit mehr als 300 Millionen geklauten Zugangsdaten abgeglichen. Gibt es einen Treffer, zeigt die Liste ausführliche Informationen, bei welchem Vorfall der Begriff bereits aufgetaucht ist. Derart "verbrannte" Passwörter sollten nicht weiter verwendet und sofort geändert werden.
Auf der Seite haveibeenpwned.com lässt sich prüfen, ob Nutzernamen oder Mailadressen geklaut wurden. (Quelle: Troy Hunt)
Eingerichtet hat die Webseite der australische Sicherheitsforscher Troy Hunt. Vergleichbare Prüf-Abfragen gibt es aber auch auf Deutsch. Zum Beispiel hier:
- Identity Leak Checker des Hasso-Plattner-Institut (HPI)
- Sicherheitstest des BSI
- Sind Sie auch betroffen? Testen Sie es!: BKA findet 500 Millionen erbeutete Passwörter
- Handy, Online-Konto und Co.: PIN und Passwort vergessen? So kommen Sie wieder an Ihre Daten
- Interview mit Google-Direktor Michael Korbacher: Wie sicher sind Daten bei Google?
- Wikileaks enthüllt: Wikileaks: So belauscht die CIA Smartphones
Die Tatsache, dass ein Passwort nicht in der Datenbank steht, bedeutet allerdings nicht, dass es sicher ist. Tipps für sichere Passwörter gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der Webeite BSI-fuer-buerger.de.