News
HaveIbeenPwned knackt Rekord: 625 Millionen neue Passwörter – ist deins dabei?

Die Webseite HaveIbeenPwned hat schon vielen Menschen geholfen, ihre Online-Sicherheit zu bewerten. Das wird jetzt noch besser möglich sein, denn sie wurde um einen riesigen Datensatz erweitert.

Von Christian Bernhard
1 Min.
Sichere Passwörter können vor großem Unheil bewahren. (Bild: Cienpies Design / Shutterstock)

HaveIbeenPwned ist eine kostenlose Webseite, die es Nutzer:innen ermöglicht, zu überprüfen, ob ihre E-Mail-Adressen oder Passwörter in bekannten Datenlecks kompromittiert wurden.

Auch 1,3 Milliarden Passwörter gehören zum Rekord-Datenpaket

Die Plattform sammelt dafür Daten aus Milliarden von geleakten Konten und kann Nutzer:innen so helfen, ihre Online-Sicherheit zu bewerten und entsprechende Maßnahmen zu ergreifen. Gegründet wurde die Plattform vom australischen IT-Sicherheitsexperten Troy Hunt.

Dieser hat in einem Blogbeitrag verkündet, dass seine Datenbank gehörigen Zuwachs bekommen hat. Konkret wurde sie um knapp zwei Milliarden unterschiedlicher E-Mail-Adressen und 1,3 Milliarden Passwörter, „von denen wir 625 Millionen noch nie zuvor gesehen haben“, erweitert, schrieb Hunt. Dabei handele es sich um den „mit Abstand umfangreichsten Datensatz, den wir je verarbeitet haben“.

Sogenannte Credential-Stuffing-Listen standen im Mittelpunkt

Hunt hat bei diesem enormen Datensatz mit dem Cybersicherheitsunternehmen Synthient kooperiert. Dieses hat die Mail-Adressen und Passwörter aus unterschiedlichen Quellen zusammengetragen und dabei ein besonderes Auge auf sogenannte Credential-Stuffing-Listen gerichtet, berichtete Golem.

Bei einem Credential-Stuffing-Angriff werden gestohlene Anmeldeinformationen aus einem Dienst verwendet, um zu versuchen, in Konten für andere Dienste zu gelangen. Besonders gefährdet sind also Menschen, die für unterschiedliche Onlinedienste die gleichen Passwörter verwenden. Um sich vor solchen Angriffen zu schützen, ist es ratsam, für jeden Dienst ein einmaliges, komplexes Passwort zu erstellen. Auch die Nutzung der Zwei-Faktor-Authentifizierung hilft, denn dann bringt es den Kriminellen nichts, Bescheid über ein Passwort zu wissen.

So überprüfte Hunt die Echtheit der Daten

Synthient habe die Daten „ausschließlich zum Zweck der Benachrichtigung von Opfern“ zur Verfügung gestellt, schrieb Hunt. Das Partner-Unternehmen sei „der Gute, der die Bösen entlarvt“.

Um die Echtheit der Daten zu überprüfen, hat Hunt stichprobenartig mehrere betroffene Abonnent:innen seines Dienstes angeschrieben und gefragt, ob sie die Passwörter tatsächlich genutzt haben. Die Reaktionen darauf seien positiv gewesen. Unter den Passwörtern seien veraltete, aber auch aktuelle gewesen.

