Immer wieder können kriminelle Hacker Login-Informationen wie E-Mail-Adressen und Passwörter erbeuten. Diese Daten werden dann bisweilen auch ins Netz gestellt. Ein aktuelles Beispiel ist das massive Datenleck von Facebook. Betroffen waren die persönlichen Daten von 533 Millionen Nutzerinnen und Nutzern. Ebenso betroffen ist Linkedin, wo Daten von einer halben Milliarde Nutzern zusammengetragen wurden. Für Kriminelle sind diese Informationen äußerst hilfreich, da leider nach wie vor viele Nutzerinnen und Nutzer dieselben Passwörter für verschiedene Plattformen nutzen. Das zeigte sich beispielsweise nach dem massiven Passwortdiebstahl bei Yahoo aus dem Jahre 2013. Damals verglich der Sicherheitsexperte Troy Hunt die Login-Daten mit denen aus einem Datenleak bei Sony aus dem Jahr 2011. Das Ergebnis: 60 Prozent von denen, die bei Yahoo und Sony ein Konto hatten, nutzten für beide Dienste dasselbe Passwort.

Damit Nutzer sich vielleicht etwas mehr Gedanken über ihre Passwörter machen und natürlich, um auf einfache Weise festzustellen, ob vielleicht sogar einer der eigenen Accounts gehackt wurde, hat Hunt die Website Have I Been Pwned? (HIBP) ins Leben gerufen. Hier geben Nutzer ihre E-Mail-Adresse ein, die dann mit den Adressen in den veröffentlichten Listen verglichen wird. Anschließend zeigt euch die Website, bei welchen Datenleaks die Adresse betroffen war und welche Art von Daten jeweils entwendet wurde. Außerdem könnt ihr auch gezielt nach Passwörtern suchen. Aktuell verfügt die Datenbank über die Login-Daten von mehr als fünf Millionen Nutzern. Dazu gehören auch die Daten des aktuellen Facebook-Leaks. Da dort nur in wenigen Fällen die E-Mail-Adressen der Opfer hinterlegt waren, dafür aber ihre Telefonnummern, besitzt HIBP seit neustem auch eine Telefonnummernabfrage. Darüber könnt ihr prüfen, ob auch ihr von dem Facebook-Datenleck betroffen seid.

Zwei-Faktor-Authentifizierung für Amazon, Whatsapp, Apple und mehr aktivieren: So geht’s

An der Stelle muss erwähnt werden, dass Dienste wie HIBP zumindest theoretisch dafür genutzt werden könnten, um tatsächlich genutzte E-Mail-Adressen aus den Datenbanken zu ermitteln. So könnte ein Hacker die notwendige Rechenkraft zum Entschlüsseln eines Passwortes gezielter einsetzen. Von unbekannten Diensten, die eine ähnliche Funktion wie HIBP anbieten, solltet ihr daher im Zweifel die Finger lassen. Hunt ist allerdings ein angesehener Sicherheitsexperte und sein Dienst wird mittlerweile beispielsweise von Mozilla und dem Passwortmanager 1Password genutzt, um User zu warnen, wenn ihre Login-Daten kompromittiert wurden.

Eine Alternative zum US-Dienst HIBP stellt der Identity Leak Checker des Hasso-Plattner-Instituts dar. Die private Fakultät gehört zur Universität Potsdam und wird von der gemeinnützigen Stiftung des namengebenden SAP-Gründers finanziert. Zum jetzigen Zeitpunkt ist der Datenbestand des Identity Leak Checkers ein wenig umfangreicher als der von HIBP.

Auch beim Identity Leak Checker müsst ihr eure E-Mail-Adresse angeben, um darüber informiert zu werden, ob eure Login-Daten von einem Datenleck betroffen sind. Im Gegensatz zu HIBP wird das Ergebnis der Abfrage allerdings nicht auf der Website angezeigt, sondern euch per Mail zugeschickt. So soll sichergestellt werden, dass nur die eigentlichen Besitzer der Adressen Auskunft erhalten. In der Mail erfahrt ihr dann auch, welche Daten betroffen sind, und könnt sehen, ob neben Passwort auch beispielsweise Name, Anschrift, Telefonnummer, Bankdaten oder andere persönliche Informationen von euch entwendet wurden.

Firefox Monitor greift auf den Datenfundus von HIBP zurück. Die Ergebnisse sind dementsprechend identisch. Auch hier könnt ihr durch die Angabe eurer E-Mail-Adresse prüfen, ob eure Login-Daten gestohlen und veröffentlicht wurden. Außerdem könnt ihr eure E-Mail-Adresse hinterlassen, um über zukünftige Datenleaks informiert zu werden.

Da Mozilla und dem HIBP-Betreiber Hunt klar ist, dass auch die Angabe der eigenen E-Mail-Adresse an sich ein Datenschutzproblem darstellt, wird sie nicht direkt zur Abfrage verwendet. Stattdessen generiert der Firefox Monitor per JavaScript einen Hashwert aus der Adresse und sendet davon nur die ersten sechs Zeichen an die HIBP-API. Anschließend sendet die API alle Datensätze zurück, die mit demselben Wert beginnen. Erst in eurem Browser werden diese dann mit dem vollständigen Hashwert abgeglichen und ihr bekommt das Ergebnis präsentiert.

Mozilla hat Firefox Monitor mittlerweile auch direkt in den Firefox-eigenen Passwortmanager Lockwise integriert. So könnt ihr euch auch dort direkt anzeigen lassen, ob von euch gespeicherte Login-Informationen in einem Datenleck aufgetaucht sind. Dasselbe bieten mittlerweile alle großen Browser an.

Wer beispielsweise seine Chrome-Passwörter bei Google in der Cloud speichert, kann über die Funktion Password Checkup prüfen, ob dort abgespeicherte Login-Informationen von einem bekannten Datenleck betroffen sind.

Nutzerinnen und Nutzer von Apples Safari wiederum erhalten diese Information, indem sie am Desktop unter Einstellungen auf Passwörter gehen. Unter iOS und iPadOS bekommt ihr hinweise zu von Datenlecks betroffenen Login-Informationen hingegen, wenn ihr unter Einstellungen auf Passwörter geht und dann Sicherheitsempfehlungen auswählt.

Wer wiederum Microsofts Edge-Browser einsetzt, der muss die Funktion Passwort-Monitor aufrufen. Die findet ihr, wenn ihr unter Einstellungen auf Profile geht, und dort Passwörter auswählt.

Ebenfalls hilfreich: Keine Chance für Cracker: Tipps für mehr Sicherheit bei Passwörtern

Der Artikel wurde am 6. April 2021 aktualisiert.