
Frau bei der Passworteingabe. (Foto: Shutterstock)
Immer wieder werden Anmeldeinformationen in großen Mengen gestohlen und landen dann im Netz. Oftmals wissen die Betroffenen gar nicht, dass auch ihre Login-Daten gestohlen wurden. Ein neuer Dienst von Mozilla namens Firefox Monitor soll dieses Problem lösen. Auf der Website könnt ihr eure E-Mail-Adresse eingeben und erfahrt dann, ob sie Teil eines Datenlecks war. Außerdem könnt ihr eure E-Mail-Adresse wahlweise auch abspeichern, um dann informiert zu werden, falls eure Login-Daten in Zukunft irgendwo veröffentlicht werden.
Das Konzept dürfte dem einen oder anderen bekannt vorkommen: Der Dienst Have i been pwned (HIBP) macht genau dasselbe bereits seit 2013. Und tatsächlich stammen auch die Daten im Firefox Monitor von genau diesem Dienst. Wie Troy Hunt, der Macher von HIBP, in einem Blogbeitrag erklärt, soll die Kooperation vor allem dabei helfen, mehr Menschen zu erreichen, die ohne Firefox nie von dem Dienst gehört hätten. Um möglichst viele Menschen davor zu schützen, dass ihre Anmeldedaten missbraucht werden, hat neben Firefox Monitor auch der Passwortmanager 1Password eine Funktion, um die HIBP-Datenbank abzufragen.

Kooperation mit Have i been pwned: Firefox Monitor überprüft, ob ihr von einem Datenleck betroffen seid. (Screenshot: Mozilla)
Troy Hunt und die Macher von Firefox Monitor sind sich im Klaren darüber, dass die Herausgabe der eigenen E-Mail-Adresse selbst in gewisser Hinsicht ein Datenschutzproblem darstellt. Das ließe sich im Prinzip nur umgehen, indem Nutzer die gesamte HIBP-Datenbank herunterladen und einen lokalen Abgleich mit ihrer E-Mail-Adresse durchführen. Das wiederum wäre enorm zeitaufwendig und dürfte weniger technisch versierte Anwender verschrecken.
Um trotzdem ein gewisses Maß an Sicherheit zu garantieren, sendet Firefox Monitor nicht eure gesamte E-Mail-Adresse an HIBP. Stattdessen generiert der Dienst daraus einen Hashwert. Aus test@example.com würde dann beispielsweise 567159d622ffbb50b11b0efd307be358624a26ee. Von diesem Wert übersendet Firefox Monitor nur die ersten sechs Zeichen an die HIBP-API. Anschließend sendet HIBP alle Datensätze zurück, die ebenfalls mit diesem Wert beginnen. Laut Troy Hunt dürften das in aller Regel mehrere Hundert sein.
Erst jetzt prüft Firefox Monitor, welcher Eintrag mit dem vollständigen Hashwert übereinstimmt und sagt euch, ob ihr von einem Datenleck betroffen seid. Wer will, kann seine eigene E-Mail-Adresse aber auch für diese Abfragen sperren lassen. Dazu stellt euch HIBP eine Opt-out-Funktion zur Verfügung.
Ebenfalls interessant:
- So wählt ihr sichere Passwörter für eure Accounts
- Zwei-Faktor-Authentifizierung auf Facebook, Whatsapp, Paypal und mehr: So setzt du sie ein
- Keine Chance für Cracker: Tipps für mehr Sicherheit bei Passwörtern
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team