Frau bei der Passworteingabe. (Foto: Shutterstock)
Immer wieder werden Anmeldeinformationen in großen Mengen gestohlen und landen dann im Netz. Oftmals wissen die Betroffenen gar nicht, dass auch ihre Login-Daten gestohlen wurden. Ein neuer Dienst von Mozilla namens Firefox Monitor soll dieses Problem lösen. Auf der Website könnt ihr eure E-Mail-Adresse eingeben und erfahrt dann, ob sie Teil eines Datenlecks war. Außerdem könnt ihr eure E-Mail-Adresse wahlweise auch abspeichern, um dann informiert zu werden, falls eure Login-Daten in Zukunft irgendwo veröffentlicht werden.
Das Konzept dürfte dem einen oder anderen bekannt vorkommen: Der Dienst Have i been pwned (HIBP) macht genau dasselbe bereits seit 2013. Und tatsächlich stammen auch die Daten im Firefox Monitor von genau diesem Dienst. Wie Troy Hunt, der Macher von HIBP, in einem Blogbeitrag erklärt, soll die Kooperation vor allem dabei helfen, mehr Menschen zu erreichen, die ohne Firefox nie von dem Dienst gehört hätten. Um möglichst viele Menschen davor zu schützen, dass ihre Anmeldedaten missbraucht werden, hat neben Firefox Monitor auch der Passwortmanager 1Password eine Funktion, um die HIBP-Datenbank abzufragen.
Kooperation mit Have i been pwned: Firefox Monitor überprüft, ob ihr von einem Datenleck betroffen seid. (Screenshot: Mozilla)
So schützt Firefox Monitor eure E-Mail-Adressen
Troy Hunt und die Macher von Firefox Monitor sind sich im Klaren darüber, dass die Herausgabe der eigenen E-Mail-Adresse selbst in gewisser Hinsicht ein Datenschutzproblem darstellt. Das ließe sich im Prinzip nur umgehen, indem Nutzer die gesamte HIBP-Datenbank herunterladen und einen lokalen Abgleich mit ihrer E-Mail-Adresse durchführen. Das wiederum wäre enorm zeitaufwendig und dürfte weniger technisch versierte Anwender verschrecken.
Um trotzdem ein gewisses Maß an Sicherheit zu garantieren, sendet Firefox Monitor nicht eure gesamte E-Mail-Adresse an HIBP. Stattdessen generiert der Dienst daraus einen Hashwert. Aus test@example.com würde dann beispielsweise 567159d622ffbb50b11b0efd307be358624a26ee. Von diesem Wert übersendet Firefox Monitor nur die ersten sechs Zeichen an die HIBP-API. Anschließend sendet HIBP alle Datensätze zurück, die ebenfalls mit diesem Wert beginnen. Laut Troy Hunt dürften das in aller Regel mehrere Hundert sein.
Erst jetzt prüft Firefox Monitor, welcher Eintrag mit dem vollständigen Hashwert übereinstimmt und sagt euch, ob ihr von einem Datenleck betroffen seid. Wer will, kann seine eigene E-Mail-Adresse aber auch für diese Abfragen sperren lassen. Dazu stellt euch HIBP eine Opt-out-Funktion zur Verfügung.
Ebenfalls interessant:
- So wählt ihr sichere Passwörter für eure Accounts
- Zwei-Faktor-Authentifizierung auf Facebook, Whatsapp, Paypal und mehr: So setzt du sie ein
- Keine Chance für Cracker: Tipps für mehr Sicherheit bei Passwörtern
