Abo
  • IT-Karriere:

Shard: Neues Tool spürt Passwort-Doppelnutzung auf

Ein Sicherheitsforscher hat ein Werkzeug veröffentlicht, mit dem Nutzer herausfinden können, ob Passwörter bei populären Webdiensten doppelt genutzt werden. Brute-Force-Angriffe sind damit aber nur in der Theorie möglich.

Artikel veröffentlicht am ,
Passwörter sollten nur einmal genutzt werden.
Passwörter sollten nur einmal genutzt werden. (Bild: Pawel /Reuters)

Häufig benutzte Passwörter sind ein Risiko - darauf soll ein neues Tool aufmerksam machen. Nutzer können damit ihre eigene Verwundbarkeit testen. Kopierte Nutzerdaten von Online-Diensten sind vor allem deshalb ein Problem, weil viele Nutzer ihre Passwörter wiederverwenden. Da meist die Mailadresse als Login-Name eingesetzt wird, lassen sich entwendete Nutzerdaten häufig missbrauchen, um auch andere Accounts zu kompromittieren.

Stellenmarkt
  1. Schöck Bauteile GmbH, Baden-Baden
  2. LORENZ Life Sciences Group, Frankfurt am Main

Vielen Nutzern dürfte gar nicht mehr bewusst sein, bei welchen Diensten sie sich in den vergangenen Jahren mit welchen Passwörtern angemeldet haben. Mit dem Kommandozeilentool Shard lassen sich verschiedene Accounts jetzt einfach durchprobieren.

Derzeit werden Reddit, Twitter, Instagram, Facebook und Linkedin unterstützt, nach Angaben des Entwicklers Philip O'Keefe sollen sich jedoch mit geringem Aufwand weitere Module entwickeln lassen.

Die Software basiert auf Java und läuft auf der Kommandozeile. Der zu testende Nutzername und das Passwort werden der Software als Argument übergeben. Wenn eine Übereinstimmung mit Webdiensten gefunden wird, wird dies ausgegeben. Es lassen sich auch mehrere Nutzernamen und Passwörter in einer Datei speichern und dem Programm übergeben. Nutzer könnten also die Daten des Linkedin-Einbruchs laden - doch massenhafte Angriffe dürften trotzdem nicht erfolgreich sein.

Große Dienste bieten Schutz gegen solche Angriffe

Denn große Webdienste haben in der Regel Sicherheitsmechanismen, wenn in kurzer Zeit zahlreiche erfolglose Login-Versuche erfolgen oder von einer IP-Adresse aus in kurzer Zeit viele Kombinationen von Nutzername und Passwort durchprobiert werden. Nutzer müssen dann meist Captchas lösen, bevor sie weitere Versuche starten können. Daher dürfte sich das Tool nicht für Angriffe im großen Stil eignen.

In diesem Jahr wurden bereits mehr als 600 Millionen Nutzerdaten veröffentlicht, wobei die Offenlegung des Linkedin-Datensatzes mit mehr als 167 Millionen Einträgen die größte ist. Mit dem Webdienst Have I been pwned können Nutzer feststellen, ob ihre Accounts von großen Datenpannen oder Einbrüchen betroffen sind. The Register berichtete ebenfalls über das Tool.



Anzeige
Top-Angebote
  1. (u. a. Samsung 860 EVO 1 TB für 99€ in einigen Märkten. Online nicht mehr verfügbar)
  2. (u. a. 49" für 619,99€ statt 748,90€ im Vergleich)
  3. 69,90€ + Versand (Vergleichspreis 97,68€ + Versand)
  4. 198,04€ + Versand mit Gutschein: NBBTUF15 (Vergleichspreis 232,90€ + Versand)

Mithrandir 14. Jul 2016

Wird mit den gegebenen Standards ohne zusätzliche Software auf den jeweiligen Endgeräten...

SoniX 12. Jul 2016

Ja, ist ein wenig lächerlich diese wenigen Seiten. Abgesehen von den Bedenken einem...

M.P. 12. Jul 2016

Ich nenne mich "Sicherheitsforscher", verteile ein "Testtool" und die armen Opfer geben...

Wavum 12. Jul 2016

Das Ding ist Open Source. Schau doch rein ob etwas nicht stimmt und um nochmal sicher zu...

hg (Golem.de) 12. Jul 2016

Das ist richtig! Danke für den Hinweis. VG,


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

Noise Cancelling Headphones 700 im Test: Boses bester ANC-Kopfhörer sticht Sony vielfach aus
Noise Cancelling Headphones 700 im Test
Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Bose schafft mit seinen neuen Noise Cancelling Headphones 700 eine fast so gute Geräuschreduzierung wie Sony und ist in manchen Punkten sogar besser. Die Kopfhörer haben uns beim Testen aber auch mal genervt.
Ein Test von Ingo Pakalski

  1. Bose Frames im Test Sonnenbrille mit Musik
  2. Noise Cancelling Headphones 700 ANC-Kopfhörer von Bose versprechen tollen Klang
  3. Frames Boses Audio-Sonnenbrille kommt für 230 Euro nach Deutschland

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

    •  /