Passwort Online in Leak-Datenbank auf Pwned überprüfen
Milliarden von Zugangsdaten sind im Internet im Umlauf, gerade gab ein Leak mit über 770 Millionen Konten Anlass zur Sorge. Wer überprüfen möchte, ob sein eigener Accont sich darunter befindet, kann zur Webseite Have I Been Pwned von Troy Hunt gehen, der Sicherheitsexperte sammelt diese Passwörter und stellt sie in einer Datenbank mit rund 6,5 Milliarden geknackten Accounts und Mail-Adressen zur verfügung.
Bei Pwned Passwords gibt man ein Passwort ein, damit erfährt man, ob es sich in der erfassten Leak-Datenbank befindet.
Ein Suchtreffer heisst noch nicht, dass der eigene Account tatsächlich geknackt wurde. Es kann sich auch um Accounts anderer User handeln, die zufällig das selbe Passwort nutzen, und es somit verbrannt ist. Es ist also davon auszugehen, dass das Passwort in den Sammlungen der Hacker ist und es zur Anwendung kommt, und mit Brute-Force-Attacken der Zugang rasch geknackt ist.
Passwort lokal auf Pwned überprüfen
Wie bekanntlich ist es eine schlechte Idee, einer Webseite geheime Passwörter zu verraten, um deren Sicherheit zu überprüfen. Eine elegante Lösung für dieses Problem bietet der Entwickler Hector Martin auf Github. Er nutzt ein Bloom-Filter um die Datenmassen effizient zu durchsuchen. Man benötigt lediglich ein Linux Rechner mit Python 3.x, die Datei bloom.py und die Bloom-Filterliste, die zum Download bereitstehen.
Python Script bloom.py
Nach dem Download des Python Script bloom.py von Hector Martin und der Bloom-Filterlist, führt man im Terminal folgendes Command aus:
$ python3 bloom.py test -s pwned-passwords-2.0-k16.bloom password123
FoundBei einem komplexen Passwort wird als Resultat „Not found“ wie folgt ausgegeben:
$ python3 bloom.py test -spwned-passwords-2.0-k16.bloom xFw0Nq$K+/
Not foundDen hier gezeigten Passwort Pwned Check wurde auf Fedora 30 (Thirty) Cinnamon Spin mit Python 3 ausgeführt.
CPE OS Name: cpe:/o:fedoraproject:fedora:30
Kernel: Linux 5.0.16-300.fc30.x86_64
Python 3.7.3 (default, Mar 27 2019, 13:36:35)
[GCC 9.0.1 20190227 (Red Hat 9.0.1-0.8)] on linuxSo lässt sich ressourcensparend bestimmen, ob bestimmte Passwörter in einschlägigen Quellen kursieren, ohne den gesamten Passwort-Hash preisgeben zu müssen. Die False-Positive-Rate soll mit pwned-passwords-2.0-k16.bloom bei 0,000015 sein.
Pwned-Passwörter sind reale Passwörter, die zuvor anhand von Datenschutzverletzungen offengelegt (geknackt) wurden. Aufgrund dieser Gefährdung sind sie für die weitere Verwendung ungeeignet, da das Risiko zur Übernahme anderer Konten sehr wahrscheinlich ist. Das Wort pwned bedeutet das gleiche wie owned. Der englische Ausdruck owned stammt aus der Gaming-Szene und bedeutet, dass jemand besiegt wurde, sinngemäß erwischt, besiegt. Das Wort pwned entstand durch einen Zufall. Da die Buchstaben o und p auf der Tastatur direkt nebeneinander liegen, sorgte ein Tippfehler dafür, dass aus owned pwned wurde, vermultich soll das p auch für Password stehen.
