Abo
  • Services:
Anzeige
Passwörter sollten nur einmal genutzt werden.
Passwörter sollten nur einmal genutzt werden. (Bild: Pawel /Reuters)

Shard: Neues Tool spürt Passwort-Doppelnutzung auf

Passwörter sollten nur einmal genutzt werden.
Passwörter sollten nur einmal genutzt werden. (Bild: Pawel /Reuters)

Ein Sicherheitsforscher hat ein Werkzeug veröffentlicht, mit dem Nutzer herausfinden können, ob Passwörter bei populären Webdiensten doppelt genutzt werden. Brute-Force-Angriffe sind damit aber nur in der Theorie möglich.

Häufig benutzte Passwörter sind ein Risiko - darauf soll ein neues Tool aufmerksam machen. Nutzer können damit ihre eigene Verwundbarkeit testen. Kopierte Nutzerdaten von Online-Diensten sind vor allem deshalb ein Problem, weil viele Nutzer ihre Passwörter wiederverwenden. Da meist die Mailadresse als Login-Name eingesetzt wird, lassen sich entwendete Nutzerdaten häufig missbrauchen, um auch andere Accounts zu kompromittieren.

Anzeige

Vielen Nutzern dürfte gar nicht mehr bewusst sein, bei welchen Diensten sie sich in den vergangenen Jahren mit welchen Passwörtern angemeldet haben. Mit dem Kommandozeilentool Shard lassen sich verschiedene Accounts jetzt einfach durchprobieren.

Derzeit werden Reddit, Twitter, Instagram, Facebook und Linkedin unterstützt, nach Angaben des Entwicklers Philip O'Keefe sollen sich jedoch mit geringem Aufwand weitere Module entwickeln lassen.

Die Software basiert auf Java und läuft auf der Kommandozeile. Der zu testende Nutzername und das Passwort werden der Software als Argument übergeben. Wenn eine Übereinstimmung mit Webdiensten gefunden wird, wird dies ausgegeben. Es lassen sich auch mehrere Nutzernamen und Passwörter in einer Datei speichern und dem Programm übergeben. Nutzer könnten also die Daten des Linkedin-Einbruchs laden - doch massenhafte Angriffe dürften trotzdem nicht erfolgreich sein.

Große Dienste bieten Schutz gegen solche Angriffe

Denn große Webdienste haben in der Regel Sicherheitsmechanismen, wenn in kurzer Zeit zahlreiche erfolglose Login-Versuche erfolgen oder von einer IP-Adresse aus in kurzer Zeit viele Kombinationen von Nutzername und Passwort durchprobiert werden. Nutzer müssen dann meist Captchas lösen, bevor sie weitere Versuche starten können. Daher dürfte sich das Tool nicht für Angriffe im großen Stil eignen.

In diesem Jahr wurden bereits mehr als 600 Millionen Nutzerdaten veröffentlicht, wobei die Offenlegung des Linkedin-Datensatzes mit mehr als 167 Millionen Einträgen die größte ist. Mit dem Webdienst Have I been pwned können Nutzer feststellen, ob ihre Accounts von großen Datenpannen oder Einbrüchen betroffen sind. The Register berichtete ebenfalls über das Tool.


eye home zur Startseite
Mithrandir 14. Jul 2016

Wird mit den gegebenen Standards ohne zusätzliche Software auf den jeweiligen Endgeräten...

SoniX 12. Jul 2016

Ja, ist ein wenig lächerlich diese wenigen Seiten. Abgesehen von den Bedenken einem...

M.P. 12. Jul 2016

Ich nenne mich "Sicherheitsforscher", verteile ein "Testtool" und die armen Opfer geben...

Wavum 12. Jul 2016

Das Ding ist Open Source. Schau doch rein ob etwas nicht stimmt und um nochmal sicher zu...

hg (Golem.de) 12. Jul 2016

Das ist richtig! Danke für den Hinweis. VG,



Anzeige

Stellenmarkt
  1. Basler AG, Ahrensburg
  2. Salzgitter Mannesmann Handel GmbH, Düsseldorf
  3. ETAS GmbH & Co. KG, Stuttgart
  4. MAX-DELBRÜCK-CENTRUM FÜR MOLEKULARE MEDIZIN, Berlin


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Ich denke es gibt

    Biggsis | 01:12

  2. Hihi @ AfD'ler

    Analysator | 00:55

  3. Re: Und bei DSL?

    bombinho | 00:40

  4. Re: Wir verkaufen die Kühe um den Kuhstall zu...

    Dietbert | 00:37

  5. Re: Jamaika wird nicht halten

    Svenson0711 | 00:33


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel