Passwortlisten gehackter Accounts

Es tauchen ja immer mehr Listen von gehackten Passwörter auf und dazu auch entsprechende Services, bei welchen man sein Passwort eingeben soll, um zu überprüfen, ob es in einer dieser Listen enthalten ist.

Das aber problematisch, weil man da ja sein Passwort angeben muss, damit es überprüft werden kann. Wenn man Pech hat, wird das Passwort dabei geklaut und es taucht bald selbst auf eben so einer Liste gehackter Passwörter auf.
Auch einen Hash des Passworts zu senden, ist keine Lösung, weil die gängigen Hashverfahren ohne zufälligen Salt mittlerweile relativ einfach zu knacken sind. Mit einem zufälligen Salt funktioniert es wiederum nicht, weil man dann nicht vergleichen kann.

Die sicherste Alternative ist, die Passwortlisten herunterzuladen und auf dem eigenen Rechner zu überprüfen, was aber wegen der Größe der Listen nicht unbedingt praktikabel ist.

Der Service von k-anonymity berechnet einen SHA1-Hash aus dem Passwort auf dem eigenen Computer, lädt dann alle Hashes bekannter Passwörter, die mit den ersten 5 Zeichen des eigenen Passwort-Hashes beginnen herunter und vergleicht den Rest auf dem eigenen Rechner.

Dadurch verlassen nur die ersten 5 Zeichen des SHA1-Hashs des eigenen Passworts den eigenen Rechner. Man kann also relativ sicher sein, dass dies nicht zurückgerechnet werden kann.

is_my_password_pwned ist eine Implementierung für Linux und MacOS, mit der man die eigenen Passwörter überprüfen kann.