Pwned Passwords: Online-Prüfung für geknackte Passwörter

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Pwned Passwords: Online-Prüfung für geknackte Passwörter

In den letzten Jahren gab es viele Datenlecks und riesige Datenbanken wurden von Hackern veröffentlicht oder verkauft. Der Sicherheitsforscher Troy Hunt bietet nun eine neue Möglichkeit an, rund 320 Millionen Passwörter zu durchsuchen und so festzustellen, ob das eigene Passwort irgendwo schon geknackt wurde.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Pwned Passwords: Online-Prüfung für geknackte Passwörter
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Ernsthaft? Ich soll meine sicheren Passwörter auf einer mir fremden Webseite eingeben!?

Würde ich nie machen, wer weiß was die da alles speichern und mitlesen können.
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Die gute Nachricht: pcgh ist ein nicht bekanntes Passwort. :D

Die schlechte: meine Mail ist irgendwo mit meinem uralten Pwd aufgeflogen, auf ner Seite, die ich nicht mal kenne... :ugly:
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Erstmal sollte man sich mit dem Thema befassen bevor man stänkert.

Ihr könnt euch die Liste auch selbst runter laden und eure SHA1 hashes selbst vergleichen.

Am besten mit dem Chrome :ugly:
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Alle meine Passwörter waren nicht "pwned", beim zweiten mal eingeben ware sie es. :( Feelsbetrayedman


Spaß.
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Master_Chief_87 schrieb:
Prima... PCGH leistet Beihilfe zum Phishing. :daumen2:
Zum Vergrößern anklicken....

Naja, man muss eben richtig lesen, auf der Seite steht groß und fett:

"Do not send any password you actively use to a third-party service - even this one!"

Und mit dem Herunterladen der Passwort-Liste (was ebenfalls direkt angeboten wird) ist es auch möglich, seine aktuellen Passwörter zu prüfen.
Insofern finde ich die Seite schon sinnvoll.
Nur eben mit der nötigen Vorsicht.
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

FrozenFlame6 schrieb:
Naja, man muss eben richtig lesen, auf der Seite steht groß und fett:

"Do not send any password you actively use to a third-party service - even this one!"

Und mit dem Herunterladen der Passwort-Liste (was ebenfalls direkt angeboten wird) ist es auch möglich, seine aktuellen Passwörter zu prüfen.
Insofern finde ich die Seite schon sinnvoll.
Nur eben mit der nötigen Vorsicht.
Zum Vergrößern anklicken....

:banane: WER LESEN KANN IST KLAR IM VORTEIL :banane:
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Und der Benutzername wird wie genau übertragen? Man kann kaum von einem Nutzernamen auf den Benutzernamen schliessen. Den haben sie ja schon... abgesehen davon bestätigt damit man auch nichts, leidglich macht es es ihnen leichter zu prüfen, welche Accounts noch aktiv sind. Die Erkenntnis kam mir erst, als ich ein paar PWs probiert habe. Manche sind aber schon älter und für wichtige Dinge (E-Mail bspw.) benutze ich generierte.
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Maverick3k schrieb:
Und der Benutzername wird wie genau übertragen? Man kann kaum von einem Nutzernamen auf den Benutzernamen schliessen. Den haben sie ja schon... abgesehen davon bestätigt damit man auch nichts, leidglich macht es es ihnen leichter zu prüfen, welche Accounts noch aktiv sind. Die Erkenntnis kam mir erst, als ich ein paar PWs probiert habe. Manche sind aber schon älter und für wichtige Dinge (E-Mail bspw.) benutze ich generierte.
Zum Vergrößern anklicken....

Es geht darum Bruteforce-Methoden/-Programme zu vereinfachen, Yoda.
Und je mehr "Standard-Passwörter" ein solches Programm kennt (bevor es tatsächlich das eigentliche Bruteforce machen muss) und vorher "ausprobiert", desto schneller geht das Knacken (theoretisch).
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Vergesst die Seite, die Abfrage haut nicht hin. Ich wurde auf zwei Loginversuche bei bestimmten Seiten mit einer Zwei-Stufen_Authentification per email benachrichtigt, einmal erfolgte der Versuch aus Taiwan, ein anderes Mal aus Indien. Beide Passwörter habe ich hier abgefragt, beide waren grün und nicht in der Datenbank vertreten. Soviel mal dazu.:nene:
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Master_Chief_87 schrieb:
Prima... PCGH leistet Beihilfe zum Phishing. :daumen2:
Zum Vergrößern anklicken....

Das einzige wozu PCGH mal wieder beihilfe leistet, ist das Menschen wie Du sinnlose Kommentare abgeben können.... :omg:

Also wenn ein Sicherheitsforscher vertrauenswürdig ist, dann ist es neben Tavis Ormandy noch Troy Hunt, der seines Zeichens auch noch MVP ist. MVP wird man mal nicht eben so, da muss man schon einiges geleistet haben und es gibt m.W. nach keinen MVP der sich jemals etwas hat zu Schulden kommen lassen. Troy setzt sich für IT Security ein und macht das nicht nur für Kohle wie andere sondern auch für umme ... das ganze grenzt schon an Pionierarbeit, dass dann mit solch dummen Kommentaren zu verunglimpfen geht mir völlig gegen den Strich!
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Julian1303 schrieb:
Vergesst die Seite, die Abfrage haut nicht hin. Ich wurde auf zwei Loginversuche bei bestimmten Seiten mit einer Zwei-Stufen_Authentification per email benachrichtigt, einmal erfolgte der Versuch aus Taiwan, ein anderes Mal aus Indien. Beide Passwörter habe ich hier abgefragt, beide waren grün und nicht in der Datenbank vertreten. Soviel mal dazu.:nene:
Zum Vergrößern anklicken....
Wer hat dich darüber benachrichtigt und welche Seiten waren das? Ich mein, das muss ja Grenzenlos wichtig sein wenn DEINE 2 Passwörter unter 320 MILLIONEN nicht auftauchen und man deshalb diesen Service vergessen kann. :schief:
Die Hunt-Datenbank erhebt übrigens kein Anspruch auf Vollständigkeit!
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

Einer der Dienste war Steam, das Andere war mein Yahoo Account. Du weißt das Steam z.B. deinen LoginStandort anhand der IP überwacht, und dich per mail darüber informiert das ein Loginversuch vom "anderen" Ende der Welt statt fand. Zumal bei so einem Versuch ein Code an meine email Adresse verschickt wird den ich dann als Bestätigung einzugeben habe. Beim email Account von Yahoo verhält es sich genauso. Ich bekomme per SMS meinen Code den ich einzugeben habe. Durch den Einlogversuch aus einem mir nicht zuzuordneten IP Adress Bereich basierend auf ".de" denke ich das daher die Warnung kam. Es gibt noch viele andere Dienste welche ich mit mehrfacher Authentifizierung abgesichert habe, was heutzutage eigentlich selbstverständlich sein sollte. Gut möglich das die Datenbank nicht vollständig ist, jedoch taucht meine zum Steamaccount passende email in dieser anderen Datenbank auf, ist jedoch nicht die yahoo mail adresse.
 
AW: Pwned Passwords: Online-Prüfung für geknackte Passwörter

@julian1303 -- kann zufall sein - wichte Pws gibt man nicht einfach so heraus!
Das Einzige was man "Troy Hunt" vorwerfen kann, warum bindet er so viel Google crap ein?
webbkoll | dataskydd.net
Wennn man testen will, dann ladet man sich die Datenbank mit den Hashes runter, unter Linux lassen sich hashes per comand im Terminal generieren und dann kann man vergleichen obs nen match gibt!
Hätten die Betreiber "Opfer" der Hacks usw die Hashes gesalzen, dann würden wird nicht vor solchen Problemen stehen. Bcrypt und gut ists!!!!!
Zu deiner Zwei-Faktor Meinung, ein Smartphone ist keine richtiger Zweiter-Faktor, besser als User/PW mehr aber auch nicht!
Weil dieser ist so dermaßen unsicher! Standart Androids bekommt die Sicherheitspatches nach dem good will der Hersteller(mit Pech ist dein Device nach 1 - 2 Jahren EOL oder verspätete security patches ohne ende)
Das heißt, offene cve zu hauf, alle mit der Option das Gerät zu übernehmen. Zweitens ist eine SMS klartext, drittens ist GSM/3G-Umts verschlüsselungsmäßg gebrochen! 4g ist da nicht viel besser!

Richtige 2FA beginnt bei einem U2F key oder einem Hardwaregenerator der OTP supportet !!!

Wenn Anbieter dir die Option bieten U2F keys zu nutzen, dann macht es, die Sticks kosten < 20 euro und man kann diese überall verwenden! (U2F ist ein Standart)
 
Zuletzt bearbeitet:
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Google führt Passkeys ein: Der "Anfang vom Ende" für Passwörter
Antworten
10
Aufrufe
2K
Cruach
Cruach
PCGH-Redaktion
News Intel plant milliardenschweres Werk in Polen für Halbleitermontage und -prüfung
Antworten
9
Aufrufe
1K
thisisrumo
thisisrumo
PCGH-Redaktion
News Neuer Aldi-PC: Was bietet der Hunter X30 für 2.649 Euro?
2
Antworten
35
Aufrufe
2K
JackA
JackA
PCGH-Redaktion
News Ryzen 8000G: Erste Anzeichen für erheblich bessere Singlecore-Performance
Antworten
6
Aufrufe
744
danyundsahne
D
PCGH-Redaktion
News Saugroboter von iRobot für weit unter 200 Euro sichern: Amazon verkauft Roomba 692 mit 45 Prozent Rabatt
Antworten
0
Aufrufe
291
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück