Gehackte Passwörter melden lassen: pwnedlist.com

Passwörter werden dauert gehackt und in Form von Listen verbreitet. Sieht zum Beispiel so aus:
*****@sprynet.com:paradise95
*****@gmail.com:Ecirtep@104
*****@juno.com:salmontoad
********@comcast.net:edmeek
*****@comcast.net:albertcamus
*****@yahoo.com:esther
******@bellsouth.net:liddsville
********@yahoo.com:blossom
***@yahoo.com:1plush63
*******@hotmail.com:787878
*********@zoominternet.net:dsc1459
Das ist ein Ausschnitt aus einer realen Liste, ich der ich nur die Namen der Benutzer-Mail-Adressen mit *** überschrieben und die Passwörter fett hervorgehoben habe. Aus Listen wie diesen darf man lernen, dass es Menschen gibt, die esther, albertcamus oder blossom für ein sicheres Passwort halten. Ist halt so. (Tipps für bessere Passwörter hier.)

Solche Listen gehackter Passwörter sind begehrt, denn sie können als Ausgangspunkt für Amateurhacker dienen. Diese brauchen die Zugangsdaten nur in eine entsprechende Automatik füttern und austesten, ob sie noch funktionieren, beim ursprünglichen Dienst oder bei anderen, interessanten Diensten. Mit so bestätigten Konten meldet man sich an und geht den nächsten Schritt an… Gefahr für das Abendland? Hängt vom Benutzer ab, ob es etwa ein Firmenkonto ist (oder theoretisch zu diesem führen könnte).

Wenn Passwörter gehackt werden

Passwörter, Kennwörter ...Erfährt ein Dienst von einem Passwortdiebstahl im großen Maßstab, fordert er im Idealfall seine User massenweise auf, ein neues Passwort einzurichten; am besten zwingt er sie beim nächsten Login dazu. Wer das befolgt, ist *danach* (nach der Änderung seines gestohlenen Passworts) in Sicherheit, sofern er dieses eine Passwort auch wirklich nur bei diesem einen Dienst verwendet hat. (Was in der Realität nicht immer so ist.)

Allerdings meldet einem nicht jeder Dienst solche Passwortdiebstähle. Und wenn, räumt einem oft genug der Zero-Inbox-Mail-Filter den Hinweis als den üblichen Spam von no-reply@ weg. Oder man verpasst es aus anderen Gründen. Dann hilft der Webdienst “pwned list“.

Passwortschutz mit haveibeenpwned.com

https://haveibeenpwned.com/ ist nach eigenen Angaben im Besitz von über 1 Milliarde gehackten und geleakten Zugangsdaten (E-Mail-Adresse plus Passwörter oder deren Hashes) und kann daher prüfen, ob auch Ihre Zugangsdaten irgendwo durchgesickert sind.

Das Wissen, zu welchem Dienst die gefundenen Zugangsdaten gehören, bezieht man aus diesen Listen und ihren Quellen selbst. Für seine Arbeit wertet der Service halbautomatisch mehrere hundert Quellen aus, zum Beispiel Pastebin-Server, über die wie über Torrents oder andere Sites, häufig Passwortlisten ausgetauscht werden.

WARNUNG: Wenn Sie von einem “ähnlichen” Dienst lesen, etwa per Werbemail oder Social-Media-Link, und diesen dann benutzen, und wenn dieser Dienst sowohl E-Mail-Adresse als auch Passwort von Ihnen will, dann handelt es sich um Datendiebe, die auf diese Weise Ihre Zugangsdaten abschöpfen! (Nur eine Frage der Zeit, bis entsprechende Phisher unterwegs sind.) Wichtig: Diese Dienst und ähnliche speichert fragt zwar nach E-Mail-Adressen, aber *natürlich* NIEMALS nach Passwörtern.

„Aber damit gebe ich denen doch meine E-Mail-Adresse?“

Besonders Paranoide argumentieren gehen pwnedlist.com ebenso wie gegen sicherheitstest.bsi.de, dass man damit irgendwelchen finstren Geheimdienstschergen seine “Daten” damit ja direkt in die Hände spielen würde. Wenn Dienste wie das BSI dann auch noch fragen, ob sie die Daten “verarbeiten” dürften, werden einige besonders paranoid.

1. Ja, Sie übergeben damit die Daten, die Sie übergeben. Denn 2. Das geht nun mal nicht anders: Es fällt Ihre IP-Adresse an, weil das technisch gar nicht anders möglich ist (Sie könnten aber TOR oder JonDonym verwenden). Es fällt des weiteren Ihre E-Mail-Adresse an, die Sie selbst angeben, weil sonst der ganze Test ja überhaupt nicht sinnvoll arbeiten kann. Diese Adressen sind “personenbezogene Daten”. Wenn das BSI diese Daten ohne Erlaubnis erheben, verarbeiten und nutzen würde, dann käme doch irgendeiner schlauer Anwalt, und würde sie genau deswegen verklagen. Also: 3. Meine Güte, stellt euch nicht so an.

„Wurde ich gehäckt?“

Wie beim BSI-Sicherheitstest können Sie einfach auf pwnedlist.com/query eine verwendete E-Mail-Adresse (nicht: das Passwort!) eingeben. Anders als beim BSI erhalten Sie sofort eine Antwort.

Wenn nichts gefunden wird:

pwnedlist.com: kein Passwort gefunden

Falls ein gehacktes Passwort gefunden wird:

pwnedlist.com: gehacktes Passwort gefunden

Zeit für etwas Paranoia:
Wir wissen nicht wirklich, wer pwnedlist.com betreibt. Ich hatte zwar schon einen interessanten Mailwechsel mit einem der Betreiber, aber das muss ja nichts heißen. Denn es könnte sich dennoch um die NSA handeln, um Chinesen, um Gauner, um Aliens, um Hunde, um sonst wen. (Im Falle des ähnlich strukturierten BSI-Tests wurde ja alles mögliche unterstellt.)

Ich halte solche Anwürfe für übertrieben paranoid. Aber nur, weil man diesen Diensten in Wirklichkeit nicht viel gibt: nur seine IP-Adresse während des Akts der Dienstenutzung (verschleierbar über die üblichen Anonymisierer) und seine E-Mail-Adresse(n) (eben die, die man prüfen will).

Wahr hingegen ist:
Mal angenommen, Sie verwenden tagsüber als Max Musterbürger eine Adresse wie doedel@example.com. Nur des Nachts sitzen Sie mit Sonnenbrille und Kapuzenshirt bei fernen Burger-King-WiFi-Hotspots, nutzen ein Notebook mit TOR (via tails oder whonix) und sind dann agent007@tormail.org. Wenn Sie nun, egal ob beim BSI oder bei pwnedlist, beide Adresse abfragen, lässt sich natürlich, theoretisch | von wem auch immer | möglicherweise erst zu einem späteren Zeitpunkt, ein Zusammenhang zwischen beiden Adressen feststellen – was die Anonymität der Tormail-Adresse zerstören würde.

Aber das gilt eben nur für den Fall, dass Sie wirklich mit viel Mühe eine zweite, anonyme Identität geschaffen haben – in allen anderen Fällen ist es doch wurst. Wer Angst davor hat, dass mehrere Identitäten zusammengeführt werden, fragt die eine Montags via TOR, die andere Mittwochs via JonDonym ab. Oder so. Usw.

Bei gehackte Passwörter warnen: pwnedlist.com

Man kann sich bei pwnedlist.com kostenlos dauerhaft anmelden. Dann warnt der Dienst automatisch, sobald die Zugangsdaten der dabei registrierten Mail-Adresse irgendwo auftauchen. (Es gibt einen kostenpflichtigen Teil für Unternehmen, der mit Domains arbeitet und gegebenenfalls Alarm schlägt. Ebenfalls sinnvoll!)

Nach der Anmeldung (minimal datenkrakig: Name, Vorname, Mail, Passwort [nur für diesen einen Dienst!]) und der anschließenden Verifikation der eingegebenen E-Mail-Adresse prüft der Dienst automatisch, ob diese E-Mail-Adresse irgendwo aufgetaucht ist. Im folgenden Bild wurde nichts gefunden:

pwnedlist_com_test-auf-passwort-hack_05verify1

(Hinweis: Nicht wundern; hinzugefügte Adressen werden zunächst mit Disabled markiert, bis sie verifiziert (und dann Active) sind.)

Ich habe mich dort schon vor Jahren angemeldet. Damals konnte man nur eine einzige Mail-Adresse pro Konto anlegen. Inzwischen lassen sich über My Watchlist, Add accounts weitere E-Mail-Adressen hinterlegen, man muss also nicht mehr, wie früher, mehrere Konten haben (kann aber). Hier eines meiner Konten mit 7 Adressen:

pwnedlist_com_test-auf-passwort-hack_07mehrere

(Paranoia-Hinweis: Hier tragen Sie eben *nicht* mehrere unterschiedliche E-Mail-Adressen gemeinsam ein, wenn diese keiner zusammenführen können soll! Man kann nach wie vor auch mehrere Konten haben, also für jede E-Mail-Adresse ein eigenes pwnedlist.com-Konto, und so pwnedlist.com via Anonymisierer auch für anonymisierte E-Mail-Adressen verwenden.)

Interessant ist die Spalte Last found. Sie gibt an, wann diese E-Mail-Adresse zuletzt in Passwortlisten gefunden, also wohl “gehackt” worden war.

Auch bei mir war das mal der Fall:

pwnedlist_com_test-auf-passwort-hack_08erwischt

Was passiert, wenn man „gehäckt“ wurde

Wie gesagt habe ich bei pwnedlist.com schon seit 2012 ein Konto, und ich hatte dann tatsächlich Ende 2013 eine Warn-Mail erhalten:

pwnedlist_com_test-auf-passwort-hack_09mail

Bei pwnedlist.com sieht man solche Ereignisse, wenn man angemeldet ist, auch direkt – auf der Seite pwnedlist.com/subscriber/reports/history. Dort klickt man auf View report und sieht dann Details.

pwnedlist_com_test-auf-passwort-hack_10report

Sie sehen hier Ihre vom Hack betroffene E-Mail-Adresse (im Bild gelb markiert), sowie das Passwort (evtl. nur als Hash) und woher die Zugangsdaten (vermutlich) stammen (im Beispiel: der Adobe-Hack Ende 2013).

Für mich ergab sich daraus der klare Auftrag, sofort mein Passwort bei Adobe.com zu ändern. Thanks, guys!

Nutzen und Nachteil von pwnedlist.com

Passwörter, Kennwörter ...Nachdem die BSI-Sache letzte Woche hochgespielt wurde, überschlagen sich die Medien nun mit Passworttipps. Doch *jetzt* kommen die Tipps zu spät, denn gegen Datendiebstahl an der Quelle und kompromittierte Zugangsdaten hilft auch das komplexeste Kennwort nichts. Dennoch sollte natürlich jedes Kennwort gut gewählt sein (hier: meine Tipps für sichere Passwörter).

Der Dienst von pwnedlist.com hingegen ist hier wirklich sinnvoll. Zwar kann auch er nicht sicherstellen, dass der E-Mail-Adressinhaber bei absolut allen Leaks rechtzeitig informiert wird, denn natürlich gelangt nicht jede Passwortliste gleich in die Öffentlichkeit. Doch der Dienst pwnedlist.com versucht es wenigstens, und hat mir (siehe oben) auch schon einmal geholfen. Und das ganze für 0€. Dieses Angebot kann man ablehnen, weil ja alles schlimm&Datenkrake&NSA; oder eben annehmen. Ich kann mir kein Szenario vorstellen, in dem pwnedlist.com zu nutzen nicht sinnvoll wäre.

Und wie sehen Sie das? Nutzen Sie so einen Dienst? Hatten Sie schon Probleme mit Passwörtern? Haben Sie sich beim BSI-Sicherheitstest prüfen lassen? Ich höre gern von Ihnen!

Ähnliche Beiträge:

Das könnte dich auch interessieren …