News Pwned Passwords v2: Dienst zum Finden geknackter Passwörter verbessert Privacy

Steffen

Technische Leitung
Teammitglied
Dabei seit
März 2001
Beiträge
13.038
#1
Mit der Web-App „Pwned Passwords“ lässt sich herausfinden, ob ein Passwort in einem Datenleck veröffentlicht wurde und deshalb nicht mehr genutzt werden sollte. In der neuen Version 2 wurde eine entscheidende Verbesserung eingebaut: die Abfrage ist jetzt ohne Preisgabe der SHA1-Prüfsumme des Passworts möglich.

Zur News: Pwned Passwords v2: Dienst zum Finden geknackter Passwörter verbessert Privacy
 
Dabei seit
Mai 2001
Beiträge
3.420
#2
Browser wie Chrome und Safari haben doch schon Cloud-gestützte PSW-Manager. Da braucht man imho keine extra Tools wie 1Password für.
 

Sennox

Lt. Commander
Dabei seit
Mai 2008
Beiträge
1.158
#4
"Anal" bringt genau 69 Treffer :evillol:
Ansonsten sind meine PWs alle sicher bzw. dort nicht zu finden, ganz nett zu wissen.
 
Zuletzt bearbeitet:
Dabei seit
Juni 2005
Beiträge
5.016
#7
Dabei seit
Feb. 2008
Beiträge
1.921
#8
Und die Passwörter die man dort zum prüfen eingibt werden auch direkt in die DB aufgenommen?:-) justinbieber taucht übrigens nur 24'152 mal auf:-D
 
Dabei seit
Okt. 2017
Beiträge
628
#10
Passwörter auf Leak überprüfen? Aha.

Da 90% der PWs von normal-Menschen sowieso mit Preset-Bruteforce innerhalb von 2 Minuten geknackt werden macht das natürlich eine Menge Sinn. Mein Passwort Plattfuß123 wurde nicht geleakt - Puh Glück gehabt, mein PW ist also sicher... ?! Am besten noch die Abfrage mit zugehörigen Account stellen. Schön neue PWs einspielen damit eben ein neuer Datenblock entsteht, von "ungeleakten" PWs, den man dann verkaufen kann.

Also manchmal frage ich mich.....
 
Dabei seit
Jan. 2008
Beiträge
4.211
#11
gar kein Vertrauen mehr in die Menschheit wa?
 
Dabei seit
Mai 2008
Beiträge
662
#12
Was soll das bringen? Und wenn mein 0815 PW irgendwo benutzt wird, fehlt immer noch der Login-Nutzer dazu (Emailadresse meist).
Bei Standardpasswörtern, die also auch normalen Wörtern bestehen, macht das Ganze keinen Sinn, weil nicht aussagekräftig, ob man selbst betroffen ist.

Seiten wie https://haveibeenpwned.com, wo anstatt dessen auf die eigene Emailadresse/Username in bekannten Leaks geprüft wird, geben ein individuelles Feedback.
 
Dabei seit
Dez. 2011
Beiträge
2.180
#15
Also ich bekomme bei eingabe der ersten 5 zeichen zwar ne lange liste zurück, aber in keinem Eintrag kommen meine Zeichen vor. Hat noch jemand das problem?
 
Dabei seit
Dez. 2011
Beiträge
2.180
#17
Am besten noch die Abfrage mit zugehörigen Account stellen. Schön neue PWs einspielen damit eben ein neuer Datenblock entsteht, von "ungeleakten" PWs, den man dann verkaufen kann.

Also manchmal frage ich mich.....
Erstens wird im Artikel sehr schön beschrieben, wie man sein Passwort testen kann, ohne dass es jemals im Browser landet, zweitens kann man sich den Code der Website ansehen und sicher gehen, dass wirklich nur ein Teil des Passworts Hashes übertragen wird, falls man den Hash nicht lokal berechnen möchte. Und dass nirgendw auf dieser Seite nach einem account gefragt wird ignorierst du auch einfach mal, weil du grad so schön in Fahrt bist oder?

Aber lesen ist wahrscheinlich nicht so deine Stärke oder war das nur ein trollversuch dem ich auf den Leim gegangen bin?
 
Dabei seit
Apr. 2006
Beiträge
14.421
#18
Ist das nicht offensichtlich? Es sagt mir ob ein solches PW in den bekannten Leaks schonmal geknackt wurde.

Wenn ich meinen CB Account mit "vollgeheim" nutze dann ist diese Info wohl zeimlich irrelevant - bei einem Accountpasswort von dem ich glaube dass es sicher wäre ist die Info sicher nützlicher.
 

Steffen

Technische Leitung
Ersteller dieses Themas
Teammitglied
Dabei seit
März 2001
Beiträge
13.038
#19
Also ich bekomme bei eingabe der ersten 5 zeichen zwar ne lange liste zurück, aber in keinem Eintrag kommen meine Zeichen vor. Hat noch jemand das problem?
Die Liste enthält nicht die vollständigen SHA1-Prüfsummen, sondern nur die Zeichen 6–40 (also nicht die ersten fünf Zeichen nochmal, die ja eh immer gleich wären). Schneide mal die ersten fünf Zeichen bei deinem Suchstring ab.
 

dUpLeX

Lt. Junior Grade
Dabei seit
Sep. 2003
Beiträge
299
#20
Was soll das bringen? Und wenn mein 0815 PW irgendwo benutzt wird, fehlt immer noch der Login-Nutzer dazu (Emailadresse meist).
Bei Standardpasswörtern, die also auch normalen Wörtern bestehen, macht das Ganze keinen Sinn, weil nicht aussagekräftig, ob man selbst betroffen ist.

Seiten wie https://haveibeenpwned.com, wo anstatt dessen auf die eigene Emailadresse/Username in bekannten Leaks geprüft wird, geben ein individuelles Feedback.
Wenn du den Artikel richtig gelesen hättest, wäre dir aufgefallen, dass hier eine neue Funktion genau der von dir genannten Seite https://haveibeenpwned.com/ beschrieben wird!
Das ganze ist absolut praktisch! Du kannst nun also einmal überprüfen ob die Mailadresse oder der Username betroffen ist (das was du erwähnt hast). Zum anderen kannst du jetzt auch noch überprüfen, ob ein von dir genutztes Passwort sich in einer Standardliste "geleakter" Passwörter befindet. Wenn es sich darauf befindet ist davon auszugehen, dass es ab jetzt als höchst unsicher eingestuft werden kann. Man könnte zum Beispiel bei einem Account den man übernehmen möchte jedes Passwort von dieser Liste ausprobieren.

Generell scheinen bis auf 2-3 Leute hier die wenigsten den Artikel überhaupt gelesen zu haben! Wie kann man sich über ein neues gratis Angebot zur Überprüfung von Sicherheit aufregen? Im Artikel wird (wie schon angesprochen) auch deutlich erwähnt, welche Sicherheitsvorkehrungen die Seite bei der Übertragung der Passwörter trifft. Ich wunder mich wirklich zunehmend über die Kommentare hier. Lest und versteht doch bitte die Artikel bevor ihr irgendeinen Stuss von euch gebt!

Ich freue mich auf jeden Fall sehr über den detaillierten Artikel!! :)
 
Zuletzt bearbeitet:
Top