Nachdem nun vor kurzem wieder eine Liste mit mehreren Millionen Benutzerdaten aufgetaucht ist, hier die Links zu zwei der wichtigsten aktuellen Ressourcen zum Thema:
Have I Been PWned
Have I Been PWned von Troy Hunt – die bekannteste Seite, die mittlerweile auch schon von Firmen und Behörden zur Überprüfung kompromittierter Passwörter verwendet wird. Hier kann eine E-Mail überprüft werden, ob diese sich in einer der vielen veröffentlichten Listen an Benutzerdaten wiederfindet. Weiters bietet haveibeenpwnd auch eine Passwort-Überprüfung an, bei der der Dienst ermittelt, ob es zu einem Passwort schon ein Gegenstück in einer der veröffentlichten Listen gibt. Dazu werden die ersten 5 Stellen des Hashs des Passworts einem Matching unterzogen und die Übereinstimmungen bzw. Founds angezeigt. Wer dem Service (aufgrund der Verschlüsselungsthematik) nicht traut, könnte auch die gesamten Passwort-Hashes downloaden und die Prüfung lokal vornehmen. Aktuell hat die Passwort-Liste allerdings eine Größe von 11 GB. Hinweis: bei HaveIBeenPWned gibt’s auch eine API für den „programmatischen“ Zugriff auf pwned Accounts.
Identity Leak Checker
Eine zweite Anlaufstelle ist die Datenbank des deutschen Hanno Platter Institutes namens Identity Leak Checker, welche ebenfalls einen tollen gleichartigen Service anbietet. Diese Institution hat zu den letzten aufgetauchten Benutzerdaten ähnlich schnell (oder sogar etwas schneller) wie Troy Hunt reagiert und kann als Bildungsinstitution als ziemlich sicher gewertet werden.
Was also bedeutet es, wenn eine abgefragte E-Mail-Adresse in der Datenbank gefunden wurde?
Die E-Mail-Adresse befindet sich in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (Identity Leak). Somit befindet sich mindestens ein Datensatz mit E-Mail-Adresse und potentiellen anderen Daten auf einer dieser unrechtmäßig veröffentlichten Listen. Sowohl haveibeenpwned als auch ILC senden nach Eingabe der E-Mail-Adresse das Ergebnis der Prüfung per Mail an die geprüfte E-Mail-Adresse. In diesem Mail ist detailliert angeführt, auf welcher Liste die E-Mail-Adresse enthalten ist und wann diese Liste veröffentlicht bzw. gefunden wurde. Kann der Leak verifiziert werden (d.h. steht fest, von welchem Webservice der Leak stammt), dann ist die Herkunft der Daten klar und es genügt i.d.R., die Zugangsdaten für diesen bestimmten Webservice entsprechend abzuändern. Ist der Leak nicht verifiziert, dann ist nicht bekannt, woher der Datendieb die Daten dieser Liste hat. In diesem Fall kann eine vollkommene Sicherheit nur dann wieder hergestellt werden, wenn alle Passwörter zur geprüften E-Mail-Adresse, die man bis zur Veröffentlichung der kompromittierenden Liste vergeben hat, abändert. Dies ist in vielen Fällen in der Praxis zwar sehr oft nicht möglich, wäre aber die einzige sichere Vorgangsweise und sollte zumindest (wenn auch nur teilweise realisierbar) stets im Hinterkopf behalten werden…
Was bedeutet es, wenn sich bei der Passwort-Abfrage herausstellt, dass dieses in einer Liste vorkommt?
Es muss sich in diesem Fall um noch keine unmittelbare Bedrohung handeln, allerdings besteht die Gefahr, dass bei Einbruchsversuchen z.B. mit Brute-Force-Methoden Passwort-Listen bzw. Dictionarys zum Einsatz kommen und diese dann mit Sicherheit in kompromittierten Listen veröffentlichte Passwörter beinhalten. So gesehen ist es natürlich gut, zumindest Passwörter zu verwenden, die sich nicht auf derartigen Listen befinden.