Hacker erbeuten immer wieder große Datenbanken mit sensiblen Nutzerdaten von Unternehmen. Bekannte Unternehmen, welches mit einem der größten Datendiebstähle in die Geschichte eingegangen sein dürften, sind Yahoo, Adobe oder Dropbox.
Deswegen hat die amerikanische Standardbehörde NIST im Jahr 2017 in ihrem Leitfaden für Online-Identität verfügt, dass Passwörter aus bekannten Datenlecks für die Nutzerauthentifizierung auf eine Blacklist gesetzt werden sollten.
Das Problem liegt auf der Hand. Die Wiederverwendung von (bekannten) Passwörtern ist allgemein keine gute Idee. Bis jetzt war es allerdings fast unmöglich, herauszufinden, ob das eigene Passwort durch eines der Datenlecks ergaunert und im Darknet verteilt werden konnte.
Die Website „Have I Been Pwned“ (HIBP) des unabhängigen Sicherheitsforschers Troy Hunt ermittelt, ob eine E-Mail-Adresse oder ein Passwort in einem öffentlich gewordenen Hack auftaucht. Mittlerweile umfasst die Datenbank dahinter rund fünf hundert Millionen Einträge. Diesen Dienst nutzen immer mehr Personen und Institutionen, darunter Mitarbeiter der britischen und australischen Regierung. Eine Verbindung zwischen einem gehackten Passwort und dem zugehörigen Nutzerkonto oder einer E-Mail-Adresse gibt die Website aus guten Gründen allerdings nicht preis.
Das Passwort-Tool gibt allerdings keine Auskunft darüber, ob ein Account gehackt wurde. Es gibt Nutzern lediglich den Hinweis, dass das übermittelte Passwort auf Passwortlisten auftaucht, die für Brute-Force-Angriffe (Wörterbuchattacken) verwendet werden. Der zum überprüften Kennwort zugehörige Account ist zumindest potentiell gefährdet. Das kompromittierte Passwort sollte dennoch unverzüglich geändert werden. Wessen Passwort nicht in der Datenbank der Web-Anwendung gefunden wurde, kann nicht automatisch davon ausgehen, dass es sicher ist.
Anstatt das Passwort im Klartext zu übertragen wird die Technik k-Anonymity genutzt, die Cloudflare zusammen mit Hunt für den Dienst entwickelt hat. Das bedeutet, dass nur die ersten sechs Stellen eines SHA-1-Hashes der betroffenen Passworts übermittelt werden. Das API von Have I Been Pawned sendet dann die Hashes von Passwörtern aus seiner Datenbank zurück, die dazu passen. Auf diesem Weg müssen je Anfrage nur ein paar hundert Hashes verschickt werden und die Anonymität des Nutzers wird geschützt.