Milliarden Passwörter: HaveIBeenPwned erhält größtes Daten-Update aller Zeiten
Der von dem Australier Troy Hunt gegründete Dienst HaveIBeenPwned (HIBP), mit dem Anwender prüfen können, ob ihre Daten in bekannten Datenlecks aufgetaucht sind, hat seine Datenbank um einen riesigen Datensatz mit fast zwei Milliarden unterschiedlichen E-Mail-Adressen erweitert. Wie Hunt in einem Blogbeitrag(öffnet im neuen Fenster) schildert, handelt es sich um den größten Datenbestand, den der Dienst jemals verarbeitet hat.
Die genaue Anzahl der neu eingepflegten E-Mail-Adressen liegt den Angaben nach bei 1.957.476.021. Hunt betont, dass jede davon nur einmalig in dem Datensatz vorkommt. Er ist also bereits frei von Duplikaten. Hinzu kommen 1,3 Milliarden Passwörter, von denen 625 Millionen zuvor noch nie in der Datenbank von HIBP vertreten waren.
Das Problem der wiederverwendeten Passwörter
Quelle der Daten sind laut HIBP-Webseite(öffnet im neuen Fenster) sogenannte Credential-Stuffing-Listen, die das Threat-Intelligence-Unternehmen Synthient aus verschiedenen Quellen zusammengetragen hat. Bei Credential Stuffing bedienen sich Angreifer umfangreicher Listen von Zugangsdaten aus bekannten Datenlecks, um systematisch fremde Onlinekonten bei verschiedenen Diensten zu kompromittieren.
Besonders gefährlich ist das vor allem dann, wenn Anwender für mehrere Dienste das gleiche Passwort verwenden, was nach wie vor häufig der Fall ist. Kommt es bei einem dieser Dienste zu einem Datenleck, so lassen sich anhand darin enthaltener Zugangsdaten häufig auch jene Konten kapern, die die Nutzer bei anderen Onlinediensten registriert haben.
Einen geeigneten Schutz vor solchen Angriffen bietet nicht nur die Verwendung von je Dienst einmaligen Passwörtern mit hoher Komplexität. Wer Zwei-Faktor-Authentifizierungen nutzt, verwehrt Angreifern auch dann den Zugriff, wenn das Passwort doch mal irgendwo durchsickert. Alternativ schützen aber auch Passkeys vor entsprechenden Attacken.
Echtheit der Daten bestätigt
Hunt konnte die Echtheit der Daten nach eigenen Angaben verifizieren. Dafür schrieb er stichprobenartig einige betroffene HIBP-Abonnenten an und fragte sie, ob sie die ihnen zugeordneten Anmeldeinformationen tatsächlich verwendet haben. Die Feedbacks fielen dabei positiv aus. Teilweise handelte es sich um veraltete und vor Jahrzehnten genutzte Passwörter, teilweise aber auch um aktuelle.
Anwender können über die Webseite von HaveIBeenPwned(öffnet im neuen Fenster) jederzeit prüfen, ob sie betroffen sind – entweder durch die Eingabe ihrer E-Mail-Adresse oder auch über den Passwort-Check(öffnet im neuen Fenster) . Eine Verbindung zwischen beiden Angaben liefert der Dienst allerdings aus Sicherheitsgründen nicht.
Wer ein Passwort prüfen lässt, erhält daher lediglich die Info, wie häufig die eingegebene Zeichenfolge in Datenlecks aufgetaucht ist, nicht jedoch die zugehörige E-Mail-Adresse. Bei Angabe einer E-Mail-Adresse gibt HIPB Informationen darüber aus, bei welchen Leaks diese enthalten war und welche Datenarten noch damit verbunden waren – also etwa Passwörter, Nutzernamen, Geburtsdaten oder IP-Adressen.