Tech

Haben Hacker euer Passwort erbeutet? So findet ihr’s raus – und zwar vertraulich

Passwort-Zettel auf einer Tastatur

Wer “topsecret” für ein sicheres Passwort hält, hat sich getäuscht. Dasselbe gilt für “Himbeerkuchen” oder “Motherboard”. Bei den genannten Beispielen fehlen nicht nur Sonderzeichen, Zahlen oder zufällige Buchstabenfolgen. Sie stehen auch auf Listen mit geklauten Passwörtern, die Hacker im Netz herumreichen.

Die Sicherheitsforscher Troy Hunt hat eine riesige Datenbank mit einer halben Milliarde solcher Passwörter ins Netz gestellt, von denen man ab jetzt die Finger lassen sollte. Sie stammen aus vergangenen Hackerangriffen und Datenlecks. Das Passwort “topsecret” findet sich beispielsweise 15.279 Mal in der Datenbank. “Dieses Passwort sollte nie eingesetzt werden”, heißt es auf der Website. “Wenn du es jemals irgendwo benutzt hast, ändere es sofort.”

Videos by VICE

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

In der neuen Passwort-Datenbank finden sich natürlich auch komplexe Phrasen, die man nicht einfach so erraten könnte. Wer sein eigenes, kompliziertes Passwort in der Liste findet, wurde mit hoher Wahrscheinlichkeit Opfer eines Datendiebstahls.

Die Passwort-Abfrage ist eine neue Funktion, die Hunt für seinen Web-Dienst “Have I been pwned” entwickelt hat. Seit dem Jahr 2013 ist “Have I been pwned” eine Anlaufstelle für alle, die wissen wollen, ob das eigene Konto vom Hack eines Dienstes wie zum Beispiel Myspace betroffen ist. Bislang konnte man auf Hunts Website aber nur nach E-Mail-Adressen zu Accounts suchen, die sich in den Daten-Dumps von Hackern wiederfinden.

Wie sicher ist es, sein Passwort so einer Website zu verraten?

Das Problem einer solchen Datenbank ist aber: Wer sein Passwort zur Überprüfung verschickt, der hat es ja schon verraten – oder etwa nicht?

Auf dieser Website könnt ihr eure Passwörter mit der Datenbank abgleichen | Bild: Screenshot, haveibeenpwned.com

In einer alten Version von Troy Hunts Online-Tool war das tatsächlich der Fall. Deshalb hatte der Sicherheitsexperte die Nutzer seines Dienstes gewarnt: “Schickt nie ein Passwort, das ihr aktiv nutzt, an jemand Dritten – auch nicht an uns”. Von allen ernst genommen wurde diese Warnung aber offenbar nicht – schließlich will man ja auch wissen, wie sicher die eigenen Passwörter sind. “Leute lesen nicht immer solche Dinge”, schreibt Hunt auf seinem Blog. Er vermutet, dass Nutzer ihm trotz seiner Warnung jede Menge aktiver Passwörter geschickt haben.

Technisch passiert beim Überprüfen von Passwörtern auf Hunts Website folgendes: Zuerst werden die eingereichten Passwörter in Zeichenfolgen übersetzt, sogenannte Hashes. Diese Hashes werden dann mit der Datenbank aus geklauten Passwörtern abgeglichen, die auch nur aus Hashes besteht. Weil sich solche Hashes aber theoretisch wieder in Klartext übersetzen lassen, war diese Methode Hunt zufolge für Nutzer nicht sicher.

So bleibt das Passwort beim Abgleich geheim

Bei der neuen Version des Online-Tools kann so etwas nicht mehr passieren, führt Hunt weiter auf seinem Blog aus. Der Nutzer verschickt nämlich nicht mehr das komplette Passwort an den Server des Online-Tools, sondern nur einen Teil davon. Hunt kann also nicht erfahren, wie das abgefragte Passwort des Nutzers lautet.


Auf Motherboard: Wie ein Google-Treffer einen Waffenhändler lahmlegte


Damit das klappt, übermittelt der Nutzer nur einen Bruchteil des Hashes, der zu dem Passwort gehört. Das ist eine kleine Zeichenfolge, vergleichbar mit einem Puzzleteil. Das Online-Tool checkt nun, wie viele Passwörter mit dem verdächtigen Puzzleteil in der Datenbank liegen und schickt alle Suchergebnisse zurück an den Nutzer. Erst auf dem Gerät des Nutzers wird dann überprüft, ob unter den Suchergebnissen das abgefragte Passwort ist oder nicht.

Die Methode lässt sich in etwa so veranschaulichen: Stellen wir uns vor, ihr möchtet wissen, ob euer Gesicht in einem fremden Fotoalbum zu sehen ist – ohne dem Besitzer des Albums zu verraten, wie euer Gesicht aussieht. Also schickt ihr dem Besitzer des Fotoalbums nur ein Bild eurer Nase. Dieser überprüft dann, auf welchen Fotos eine solche Nase zu sehen ist und schickt alle Fotos mit verdächtigen Nasen an euch zurück. Anhand dieser Fotos erkennt ihr wiederum, ob euer Gesicht dabei ist.

Mit einigen Tipps von Hackern kann sich übrigens jeder selbst ein bombensicheres Passwort zulegen. Denn auch wenn der eigene Zugang nicht in der großen Datenbank von Troy Hunt auftaucht: Besonders alte oder schwache Passwörter sollte man grundsätzlich vermeiden.

Folgt Sebastian auf Twitter