«Have I been pwned?»

Hier gibt's Konfetti, wenn Ihre Passwörter sicher sind

27. Mai 2025, 00:05 Uhr · Quelle: dpa

Wer die Leak-Datenbank «Have I been pwned?» kennt und aufruft, dürfte sich die Augen reiben, vielleicht sogar an einen Hack denken: Die Seite sieht völlig anders aus als gewohnt. Das steckt dahinter.

Berlin (dpa/tmn) - «Haveibeenpwned.com» ist kaum wiederzuerkennen: Der australische Cybersecurity-Experte Troy Hunt hat seine Abfrage-Seite für kompromittierte Log-in- und Identitätsdaten optisch komplett überarbeitet und um neue Funktionen ergänzt.

Um die Nutzerinnen und Nutzer zu motivieren, etwas für ihre Datensicherheit zu tun, werden bei jeder negativen Abfrage Konfettikanonen quer über den Bildschirm abgefeuert. Negativ bedeutet, dass zu der eingegebenen E-Mail-Adresse keine kompromittierten Passwörter oder Identitätsdaten aus Hackerangriffen oder Datenlecks gefunden worden sind. Dieses gute Ergebnis wird auch mit einem grünen Rahmen hervorgehoben.

Zeitleiste mit Leak-Ereignissen zu einem Account

Treffer in der Datenbank werden dagegen mit einem roten Rahmen hervorgehoben. Neu in der Darstellung ist die Zeitleiste, an der man Monat und Jahr des jeweiligen Leaks ablesen kann. Besonders praktisch ist das, wenn es mehrere Treffer zu einer Mail-Adresse gibt. Dann lassen sich die Leak-Ereignisse in umgekehrter chronologischer Reihenfolge durchscrollen.

Benutzernamen und Telefonnummern werden bei der Abfrage neuerdings nicht mehr berücksichtigt. Die Datenbank lässt sich nur noch mit E-Mail-Adressen durchsuchen.

Was genau ist passiert - und wie gefährlich ist das?

Wer zu einem Leak noch mehr Informationen sucht, klickt einfach auf den Button «View Details», der sich nun unter jedem Zeitleisten-Ereignis findet. Dann öffnet sich ein Fenster mit einer genauen Beschreibung, was bei dem jeweiligen Sicherheitsvorfall passiert ist.

Daneben finden sich in dem Fenster einige Eckdaten im Überblick, um das Ausmaß besser abschätzen zu können, sowie eine Gefahren-Klassifikation und eine Auflistung, aus welchen Kategorien Daten kompromittiert wurden.

Regelmäßig die eigenen E-Mail-Adressen checken

«Have I been pwned?» (HIBP) bedeutet sinngemäß: «Hat es mich erwischt?». Und um diese Frage wirklich beantworten zu können, lohnt sich ein regelmäßiger Besuch zur Abfrage der eigenen E-Mail-Adressen. Denn ständig werden der Datenbank neue Datensätze hinzugefügt, die nach Leaks oder Hacks im Netz aufgetaucht sind.

Auch wenn es Überschneidungen in den Datenbeständen geben wird, ist es empfehlenswert, parallel ein weiteres kostenloses Abfrage-Angebot zu nutzen: den Identity Leak Checker des Hasso-Plattner-Instituts (HPI). Auch der Checker baut auf einer Datenbank auf, die zahllose geleakte Identitätsdaten enthält.

Passwort verbrannt? Gefahr mit neuem Passwort gebannt

Ergeben die Abfragen auf einer der Seiten Treffer, gilt es, das verbrannte Passwort beim jeweiligen Dienst schnell durch ein neues, sicheres Passwort zu ersetzen.

Wichtig: Es muss ein individuelles Passwort für jeden Dienst sein. Dasselbe Passwort für viele oder gar alle Dienste zu verwenden, ist riskant. Denn damit haben Angreifer leichtes Spiel und können viele oder alle Konten im Handstreich übernehmen.

Passwortmanager sind empfehlenswert

Weil sich niemand Dutzende komplizierte Passwörter merken kann, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von Passwortmanagern. Alternativ dazu kann man auch mit Hilfe eines Passwortmerkblatts sicherer im Netz unterwegs sein - die Methode dahinter erläutert das BSI auf seiner Website.

Zudem sollte man bei Online-Diensten die Zwei-Faktor-Authentisierung (2FA) aktivieren, wo immer sie verfügbar ist. Denn dank eines zweiten Codes, der beim Log-in abgefragt wird, kommen Angreifer selbst dann nicht ins jeweilige Konto, wenn sie das Passwort erbeutet haben sollten. Wer möchte, kann auch schon langsam mit dem Umstieg auf den Passwort-Nachfolger Passkeys beginnen.

Passkeys für passwortloses Anmelden

Passkeys ermöglichen passwortloses Anmelden über ein kryptografisches Schlüsselpaar. Der jeweilige Dienst fragt zur Anmeldung einen beim Nutzer gespeicherten Kryptoschlüssel ab. Die Abfrage muss meist noch freigegeben werden - zum Beispiel bequem per Fingerabdruck. Dann erfolgt der Abgleich mit dem Gegenstück des privaten Schlüssels: dem öffentlichen Kryptoschlüssel, der beim jeweiligen Dienst liegt.

Speichern kann man seine Passkeys auf einem Sicherheits-USB-Stick (FIDO2), in einem (mobilen) Betriebssystem wie Android, iOS/MacOS oder Windows oder in einem kompatiblen Passwortmanager, wobei letztere Variante eine universelle und unabhängige Lösung darstellt.

Technik / Computer / Internet / Kriminalität / Software / Daten / Datenschutz / Identitätsdiebstahl / Phishing / TPDS / tmn1100 / Have I been pwned? / Identity Leak Checker / Hackerangriffe / Leaks / Ratgeber / HIBP / Deutschland
27.05.2025 · 00:05 Uhr
[0 Kommentare]