Abo
  • Services:
Anzeige
Passwörter sollten nur einmal genutzt werden.
Passwörter sollten nur einmal genutzt werden. (Bild: Pawel /Reuters)

Shard: Neues Tool spürt Passwort-Doppelnutzung auf

Passwörter sollten nur einmal genutzt werden.
Passwörter sollten nur einmal genutzt werden. (Bild: Pawel /Reuters)

Ein Sicherheitsforscher hat ein Werkzeug veröffentlicht, mit dem Nutzer herausfinden können, ob Passwörter bei populären Webdiensten doppelt genutzt werden. Brute-Force-Angriffe sind damit aber nur in der Theorie möglich.

Häufig benutzte Passwörter sind ein Risiko - darauf soll ein neues Tool aufmerksam machen. Nutzer können damit ihre eigene Verwundbarkeit testen. Kopierte Nutzerdaten von Online-Diensten sind vor allem deshalb ein Problem, weil viele Nutzer ihre Passwörter wiederverwenden. Da meist die Mailadresse als Login-Name eingesetzt wird, lassen sich entwendete Nutzerdaten häufig missbrauchen, um auch andere Accounts zu kompromittieren.

Anzeige

Vielen Nutzern dürfte gar nicht mehr bewusst sein, bei welchen Diensten sie sich in den vergangenen Jahren mit welchen Passwörtern angemeldet haben. Mit dem Kommandozeilentool Shard lassen sich verschiedene Accounts jetzt einfach durchprobieren.

Derzeit werden Reddit, Twitter, Instagram, Facebook und Linkedin unterstützt, nach Angaben des Entwicklers Philip O'Keefe sollen sich jedoch mit geringem Aufwand weitere Module entwickeln lassen.

Die Software basiert auf Java und läuft auf der Kommandozeile. Der zu testende Nutzername und das Passwort werden der Software als Argument übergeben. Wenn eine Übereinstimmung mit Webdiensten gefunden wird, wird dies ausgegeben. Es lassen sich auch mehrere Nutzernamen und Passwörter in einer Datei speichern und dem Programm übergeben. Nutzer könnten also die Daten des Linkedin-Einbruchs laden - doch massenhafte Angriffe dürften trotzdem nicht erfolgreich sein.

Große Dienste bieten Schutz gegen solche Angriffe

Denn große Webdienste haben in der Regel Sicherheitsmechanismen, wenn in kurzer Zeit zahlreiche erfolglose Login-Versuche erfolgen oder von einer IP-Adresse aus in kurzer Zeit viele Kombinationen von Nutzername und Passwort durchprobiert werden. Nutzer müssen dann meist Captchas lösen, bevor sie weitere Versuche starten können. Daher dürfte sich das Tool nicht für Angriffe im großen Stil eignen.

In diesem Jahr wurden bereits mehr als 600 Millionen Nutzerdaten veröffentlicht, wobei die Offenlegung des Linkedin-Datensatzes mit mehr als 167 Millionen Einträgen die größte ist. Mit dem Webdienst Have I been pwned können Nutzer feststellen, ob ihre Accounts von großen Datenpannen oder Einbrüchen betroffen sind. The Register berichtete ebenfalls über das Tool.


eye home zur Startseite
Mithrandir 14. Jul 2016

Wird mit den gegebenen Standards ohne zusätzliche Software auf den jeweiligen Endgeräten...

SoniX 12. Jul 2016

Ja, ist ein wenig lächerlich diese wenigen Seiten. Abgesehen von den Bedenken einem...

M.P. 12. Jul 2016

Ich nenne mich "Sicherheitsforscher", verteile ein "Testtool" und die armen Opfer geben...

Wavum 12. Jul 2016

Das Ding ist Open Source. Schau doch rein ob etwas nicht stimmt und um nochmal sicher zu...

hg (Golem.de) 12. Jul 2016

Das ist richtig! Danke für den Hinweis. VG,



Anzeige

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, München
  2. Smartexposé GmbH, Berlin-Kreuzberg
  3. Daimler AG, Leinfelden-Echterdingen
  4. Giesecke+Devrient Currency Technology GmbH, München


Anzeige
Hardware-Angebote
  1. 6,99€
  2. ab 649,90€

Folgen Sie uns
       


  1. Sony

    Online spielen auf der Playstation wird teurer

  2. Quartalszahlen

    Intel meldet Rekordumsatz für zweites Quartal 2017

  3. Deutsche Telekom

    Router-Hacker bekommt Bewährungsstrafe

  4. Gnome

    Freiheit ist mehr als nur Code

  5. For Honor

    Samurai, Wikinger und Ritter bekommen dedizierte Server

  6. Smartphones

    Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

  7. Docsis 3.0

    Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

  8. Tasty One Top

    Buzzfeed stellt vernetzte Kochplatte vor

  9. Automated Valet Parking

    Lass das Parkhaus das Auto parken!

  10. Log-in-Allianz

    Prosieben, GMX und Zalando starten Single-Sign-on-Dienst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mercedes-Benz: "In einer perfekten Zukunft brauchen wir keine VR-Gehhilfen"
Mercedes-Benz
"In einer perfekten Zukunft brauchen wir keine VR-Gehhilfen"
  1. Remote Control Serienklassiker Das Boot wird VR-Antikriegsspiel
  2. Digility VR kann helfen, Vorurteile abzubauen
  3. Würfel Google zeigt experimentelles Werbeformat für Virtual Reality

Computermuseum Stuttgart: Als Computer noch ganze Räume füllten
Computermuseum Stuttgart
Als Computer noch ganze Räume füllten
  1. Studio Wildcard Server-Neustart bei Ark Survival Evolved abgesagt
  2. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt
  3. Android für PCs Jide stellt Remix OS ein

Surface Laptop im Test: Microsofts Next Topmodel hat zu sehr abgespeckt
Surface Laptop im Test
Microsofts Next Topmodel hat zu sehr abgespeckt
  1. Microsoft Surface Pro im Test Dieses Tablet kann lange
  2. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  3. iFixit-Teardown Surface Laptop ist fast nicht reparabel

  1. Re: Cayenne verliert Zulassung wegen Schummel...

    SegmenFault | 18:37

  2. Re: Die Anwendung gibt beispielsweise Signale...

    klick mich | 18:37

  3. Re: Hab ich nie verstanden...

    DASPRiD | 18:36

  4. Re: Hier mal meine Admin Erfahrung

    Neuro-Chef | 18:35

  5. Re: Ich als "Gelegenheitsonlinespieler" hätte...

    christi1992 | 18:33


  1. 16:55

  2. 16:28

  3. 15:11

  4. 14:02

  5. 13:44

  6. 13:00

  7. 12:45

  8. 12:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel