Shard: Neues Tool spürt Passwort-Doppelnutzung auf
Häufig benutzte Passwörter sind ein Risiko – darauf soll ein neues Tool(öffnet im neuen Fenster) aufmerksam machen. Nutzer können damit ihre eigene Verwundbarkeit testen. Kopierte Nutzerdaten von Online-Diensten sind vor allem deshalb ein Problem, weil viele Nutzer ihre Passwörter wiederverwenden. Da meist die Mailadresse als Login-Name eingesetzt wird, lassen sich entwendete Nutzerdaten häufig missbrauchen, um auch andere Accounts zu kompromittieren.
Vielen Nutzern dürfte gar nicht mehr bewusst sein, bei welchen Diensten sie sich in den vergangenen Jahren mit welchen Passwörtern angemeldet haben. Mit dem Kommandozeilentool Shard lassen sich verschiedene Accounts jetzt einfach durchprobieren.
Derzeit werden Reddit, Twitter, Instagram, Facebook und Linkedin unterstützt, nach Angaben des Entwicklers Philip O'Keefe sollen sich jedoch mit geringem Aufwand weitere Module entwickeln lassen.
Die Software basiert auf Java und läuft auf der Kommandozeile. Der zu testende Nutzername und das Passwort werden der Software als Argument übergeben. Wenn eine Übereinstimmung mit Webdiensten gefunden wird, wird dies ausgegeben. Es lassen sich auch mehrere Nutzernamen und Passwörter in einer Datei speichern und dem Programm übergeben. Nutzer könnten also die Daten des Linkedin-Einbruchs laden – doch massenhafte Angriffe dürften trotzdem nicht erfolgreich sein.
Große Dienste bieten Schutz gegen solche Angriffe
Denn große Webdienste haben in der Regel Sicherheitsmechanismen, wenn in kurzer Zeit zahlreiche erfolglose Login-Versuche erfolgen oder von einer IP-Adresse aus in kurzer Zeit viele Kombinationen von Nutzername und Passwort durchprobiert werden. Nutzer müssen dann meist Captchas lösen, bevor sie weitere Versuche starten können. Daher dürfte sich das Tool nicht für Angriffe im großen Stil eignen.
In diesem Jahr wurden bereits mehr als 600 Millionen Nutzerdaten(öffnet im neuen Fenster) veröffentlicht, wobei die Offenlegung des Linkedin-Datensatzes mit mehr als 167 Millionen Einträgen die größte ist. Mit dem Webdienst Have I been pwned können Nutzer feststellen, ob ihre Accounts von großen Datenpannen oder Einbrüchen betroffen sind. The Register berichtete(öffnet im neuen Fenster) ebenfalls über das Tool.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.