Eine neue Erweiterung für den Chrome-Browser prüft automatisch, ob Passwörter bei einem Hackerangriff bzw. Datenleck erbeutet wurden – und somit unsicher sind.
Googles Chrome-Erweiterung heisst «Password Checkup» und kann wie gewohnt mit einem Klick im Chrome Web Store installiert werden. Nach der Installation überprüft Chrome die im Web genutzten Passwörter. Konkret wird geprüft, ob im Browser eingegebenen Passwörter in einer Datenbank mit erbeuteten Passwörtern auftauchen – und somit geändert werden sollten. Ist dies der Fall, zeigt Chrome eine Warnung an. Laut Google enthält die für den Passwort-Check genutzte Datenbank rund vier Milliarden Benutzernamen und Passwörter, die in bisherigen Datenlecks aufgetaucht sind, sprich von Hackern erbeutet wurden.
Eine technische Beschreibung, wie dieser Schutz der Privatsphäre umgesetzt wurde, findet sich für Interessierte in Googles Security-Blog-Post. Darin erwähnt Google auch, dass dies die erste Version des «Password Checkup» ist und man die Erweiterung in den nächsten Monaten weiterentwickeln wolle.
Ab heute ist Password Checkup verfügbar. Die Chrome extension wurde übrigens bei #Google_CH in Zürich entwickelt #SaferInternetDay https://t.co/7TtP0pEWtL
— Google Schweiz (@Google_CH) February 6, 2019
Firefox bietet mit der Funktion Firefox Monitor einen ähnlichen Passwort-Check an. Auch Nutzer des Passwort-Managers 1Password können prüfen, ob ihre Passwörter in Datenlecks auftauchen. Firefox und 1Password nutzen hierfür die Datenbank des renommierten IT-Sicherheitsexperten Troy Hunt, der den bekannten Passwort-Check haveibeenpwned.com betreut. Sein Online-Passwort-Check gilt als seriös und wird auch vom deutschen Bundesamt für Sicherheit in der Informationstechnik empfohlen.
Eine gute (und auf deutsch verfügbare) Alternative zu Hunt ist der Identity Leak Checker des deutschen Hasso-Plattner-Instituts.
Datenlecks bei Firmen treten immer wieder auf. Betroffen sind kleine Firmen, aber auch Giganten wie LinkedIn, Dropbox, Adobe und viele mehr. Die Folgen betreffen uns alle: Im Internet und Darknet werden inzwischen Datensätze mit Milliarden von Login-Kombinationen sowie weitere persönliche Informationen von Internet-Nutzern verkauft – und gekauft.
Angreifer nutzen diese erbeuteten Datensätze, um sich auch bei anderen Diensten – beispielsweise bei sozialen Netzwerken oder Shopping-Plattformen – einzuloggen. Die Hacker gleichen dabei lange Listen mit Log-in-Daten automatisch mit den Zugangssystemen ab. Den Kriminellen spielt dabei in die Hände, dass viele Nutzer nach wie vor für zahlreiche Nutzerkonten das gleiche Passwort haben.
Auch Online-Erpresser nutzen Informationen aus solchen Datenlecks. Die Betrüger kontaktieren ihre Opfer etwa per E-Mail und behaupten, ihr Passwort zu kennen und intimes Videomaterial zu besitzen, das mit der Webcam aufgenommen wurde.
Erst im Januar dieses Jahres entdeckte der IT-Sicherheitsforscher Hunt einen Datensatz namens Collection #1, der Hunderte Millionen geklaute Zugangsdaten enthält. Kurz darauf sind auch die Datensätze Collections #2–5 im Netz aufgetaucht, was die Sache nicht besser macht. (oli)