Ratgeber Sicherheit

So testen Sie, ob Ihr Passwort geknackt wurde

09.11.2011 von Benjamin Schischka
LulzSec, Anonymous, 4chan – Hacker knacken und veröffentlichen tausende von Passwörtern im Internet. Wurde auch Ihr Passwort schon geknackt?
Haben Hacker das Passwort Ihres E-Mail Accounts geknackt und veröffentlicht?
Foto: lassedesignen - Fotolia.com

Was haben Gamer, Porno-Gucker und Online-Schnäppchen-Jäger gemeinsam? Sie alle sind potentielle Hacker-Opfer. Immer wieder knacken Hacker die Passwörter unschuldiger Internet-User und veröffentlichen die Login-Daten anschließend im Internet. Besonders hart sind diejenigen getroffen, deren Mail-Passwort geknackt wurde oder die das gleiche Passwort für mehrere Dienste verwenden. Mit dem veröffentlichtem Passwort erhalten Neugierige dann nicht nur Zugriff auf den Gaming-Dienst, die Porno-Seite oder das Schnäppchen-Portal. Mit oft minimaler Recherche stöbern sie anschließend im Facebook-Account oder Chat-Konto der Hacker-Opfer herum – das Passwort ist ja dasselbe.

Darum ein Rat vorweg: Verwenden Sie nie das gleiche Passwort mehrmals! Zumindest sensible Daten wie den E-Mail-Account und soziale Netzwerke sollten Sie mit unterschiedlichen Passwörtern sichern. Ist eines geknackt, bleibt der Schaden wenigstens begrenzt. Vergessliche greifen auf Passwort-Safes wie Lastpass zurück.

Um zu erfahren, ob Sie auf einer der veröffentlichten Hacker-Listen sind und Ihre Konten für alle offen stehen wie ein Scheunentor, müssen Sie weder Google bemühen, noch einzelne Hacker-Foren abklappern. Der Online-Dienst Should I Change My Password? (auf Deutsch: „Sollte ich mein Passwort ändern?“) greift auf Datenbanken geknackter Passwörter seit 2007 zurück. Zum Zeitpunkt der Artikel-Recherche ist der jüngste Eintrag drei Monate alt.

So prüfen Sie, ob Ihre Mail-Adresse geknackt wurde

shouldichangemypassword.com: So sieht die Website aus.

Tippen Sie in der Textbox von shouldichangemypassword.com Ihre Mail-Adresse ein und klicken Sie auf „Check it!“. Ein grüner Button zeigt an, dass die Adresse in keiner der durchsuchten Datenbanken auftaucht – also vermutlich nicht geknackt ist. Hundertprozentige Sicherheit gibt es nicht – vielleicht wurde die entsprechende Liste noch nicht veröffentlicht, oder sie ist shouldichangemypassword.com unbekannt.

Tools, um Passwörter zu verwalten
Alle meine Passworte
Alle meine Passworte katalogisiert und verwaltet Passwörter aller Art, wobei Sie die sensiblen Dateien mit unterschiedlichen Methoden verschlüsseln können.
Any Password
Any Password verwaltet Ihre Passwörter. Ob für Ebay, Internet-Zugang, Banking, Chat oder andere Tools – das englischsprachige Tool archiviert sie alle. Beim Speichern jeder Passwort-Liste legen Sie ein individuelles Passwort zum Aufrufen der Liste fest. So können auch mehrere Anwender auf demselben PC ihre Daten aufbewahren. Außerdem generiert das Tool auf Wunsch per Zufallsgenerator Passwörter. Hier lässt sich die Zeichenzahl angeben und ob zwischen Groß- und Kleinschreibung unterschieden werden soll.
Keepass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein Passwort merken müssen.
KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. Die Datenbank wird mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt. In Zukunft müssen Sie sich dann nur noch an ein Passwort - als Zugang für diese Datenbank - erinnern.
Magic Password Generator
Diese Erweiterung generiert und verwaltet Ihre Passwörter beispielsweise für den Zugang zu Foren. Nach der Installation klicken Sie zunächst mit der rechten Maustaste in die Menüleiste von Firefox und wählen dann im Kontextmenü "Anpassen" aus.
Password Hasher (Firefox-Addon)
Password Hasher bildet aus dem Namen der Website und einem von Ihnen gewählten Schlüsselwort das eigentliche Passwort und überträgt es an das Formularfeld.
Password Safe
Sie kopieren alle Passwörter samt Benutzernamen in eine Datenbank, die Sie mit einem einzigen Passwort absichern. So sind Ihre Passwörter sicher aufbewahrt und Sie müssen nur noch das Passwort für den Passwortsafe behalten.
Passwortverwalter Dot Net
Das kostenlose Programm speichert alle Bankdaten, Passwörter oder die Zugangsdaten für Internet-Zugänge in einer Datenbank, die mit 256 Bit starken AES Verschlüsselung und einem Passwort abgesichert wird. Ebenso verwaltet das Tool Ihre TAN- und iTAN-Listen. Die Daten können übersichtlich sortiert werden, sodass der Zugriff auf einzelne Daten sehr schnell vonstatten geht. Abgleichen können Sie die Daten per FTP und auf Wunsch können Sie die Daten als HTML-Datei exportieren.

Ist der Button rot, haben Hacker Ihr Passwort geknackt und veröffentlicht. Shouldichangemypasswort.com gibt auch das Datum der Veröffentlichung an. Liegt es weit zurück; haben Sie Ihr Passwort in der Zwischenzeit vielleicht schon einmal geändert? Dann besteht kein akuter Handlungsbedarf mehr. Sollte Ihr Passwort noch das gleiche sein, sollten Sie es unbedingt sofort ändern! Das gilt auch im Zweifelsfall! Ob geknackt oder nicht: Wir empfehlen, wichtige Passwörter regelmäßig zu ändern. Je nach Wichtigkeit der Daten ein oder mehrmals alle paar Monate. Der Online-Dienst zeigt übrigens in keinem Fall Ihr Passwort an. Fremde können den Dienst somit nicht als Phishing-Service missbrauchen. Sie müssen weiterhin den Umweg über die veröffentlichten Listen gehen.

Tipp: Wenn Sie mehrere Adressen in einem Abwasch überprüfen wollen, klicken Sie auf „Bulk Check“. In dem sich öffnenden Fenster können Sie bis zu zehn Mail-Adressen untereinander eintippen – jede in einer eigenen Zeile. Ein Klick auf „Check!“ startet die Überprüfung.

Ist shouldichangemypassword.com sicher?

Die Datenübermittlung Ihrer eingetippten Mail-Adresse wird per https-Protokoll verschlüsselt. Shouldichangemypassword verspricht außerdem, keine Texteingaben zu speichern. Dem Versprechen glauben offenbar auch Sicherheitsfirmen wie Sophos, die über die Seite und deren Macher, Daniel Grzelak aus Sydney, berichten. Im Selbsttest hatte unsere E-Mail-Adresse auch Tage später kein erhöhtes Spam-Aufkommen zu verkraften. (PC-Welt)