Password Checkup ist eine neue Browsererweiterung für den Google Chrome-Webbrowser von Google, die Benutzer über unsichere Benutzernamen oder Kennwörter informiert.
Internetnutzer haben einige Möglichkeiten, die Sicherheit von Kennwörtern zu testen und herauszufinden, ob eines ihrer Konten in Lecks enthalten war.
Die Datenbank Have I Been Pwned ist wahrscheinlich die größte öffentliche Datenbank für durchgesickerte Kennwörter. Es besteht aus mehr als 6, 4 Milliarden Konten und Sie können alle E-Mail-Adressen oder Kennwörter des Kontos mit der Datenbank abgleichen.
Einige Passwortmanager unterstützen Passwortprüfungen. Mein Lieblingstool, KeePass, unterstützt dies, sodass Sie alle Kennwörter lokal mit der Datenbank abgleichen können, um Konten zu ermitteln, bei denen Kennwortänderungen erforderlich sind, da Sie jedes durchgesickerte Kennwort als gefährdet betrachten sollten.
Passwortüberprüfung durch Google
Googles Password Checkup-Lösung ist als Chrome-Erweiterung erhältlich. Es funktioniert nur mit dem integrierten Passwort-Manager des Chrome-Browsers und nicht, wenn Sie Passwort-Manager von Drittanbietern wie LastPass oder 1Password verwenden.
Password Checkup verwendet ein anderes System, um Benutzer über unsichere Anmeldeinformationen zu informieren.
Es überprüft das Kennwort, das zum Anmelden bei Konten im Internet verwendet wird, wenn Anmeldungen für eine Datenbank mit mehr als 4 Milliarden Kennwörtern erfolgen.
Google führt eine Liste der durchgesickerten Nutzernamen und Kennwörter in verschlüsseltem und gehashtem Format und fügt ihr neue Anmeldeinformationen hinzu, sobald sie bekannt werden.
Das Unternehmen stellt fest, dass die Erweiterung und das System unter Berücksichtigung des Datenschutzes konzipiert wurden, da es sich um sensible Daten handelt. Die Erweiterung wurde entwickelt, um zu verhindern, dass ein Angreifer die Kennwortprüfung missbraucht, um unsichere Benutzernamen und Kennwörter zu enthüllen.
Password Checkup sendet eine gehashte und verschlüsselte Kopie des Nutzernamens an Google, wenn sich Nutzer bei Websites anmelden. Google verwendet Blinding und das Abrufen privater Informationen, um die Datenbank mit unsicheren Anmeldeinformationen zu durchsuchen. Die letzte Überprüfung, die feststellt, ob der Nutzername oder das Passwort in einer Datenschutzverletzung offen gelegt wurden, erfolgt laut Google lokal.
Die Browsererweiterung zeigt verwertbare Informationen an, wenn festgestellt wurde, dass der Benutzername oder das Kennwort online durchgesickert sind. Benutzer werden gebeten, das Kennwort sofort zu ändern. Es ist jedoch auch möglich, die Ergebnisse für bestimmte Websites zu ignorieren.
Google plant, die Erweiterung in den kommenden Monaten zu verfeinern. Weitere Informationen finden Sie in dem Beitrag im Google Security-Blog.
Schlussworte
Die Kennwortprüfung verwendet einen anderen Ansatz als die meisten anderen Kennwortleckprüfer. Benutzername und Passwort werden nur überprüft, wenn sich der Benutzer bei Sites anmeldet. Während dies einen Teil der Belastung mit sich bringt, die mit dem Ändern von Kennwörtern auf Dutzenden oder sogar Hunderten von Websites verbunden ist, kann dies bedeuten, dass ein Benutzer niemals oder erst nach einer längeren Zeit von Berechtigungsproblemen erfährt.
Da Google einen eigenen Datensatz verwendet, ist es außerdem möglich, dass ein durchgesickertes Passwort oder ein durchgesickerter Nutzername nicht in der Datenbank von Google, sondern in "Ich war schon im Internet" oder in anderen Websites gefunden wird (und umgekehrt). Ein schneller Test ergab, dass Google bei einigen Konten keine Sicherheitsverletzungen feststellte, während "Have I Been Pwned" dies tat.
Google könnte einige der Probleme der Erweiterung lösen, indem es eine Option hinzufügt, mit der alle gespeicherten Nutzernamen und Kennwörter mit der Datenbank der durchgesickerten Anmeldeinformationen abgeglichen werden.
Now You: Wie ist Ihr Eindruck von Password Checkup?
