Google hat mit Password Checkup eine Chrome-Erweiterung für die Passwortüberprüfung veröffentlicht. Bei jeder Anmeldung auf einer Webseite prüft diese, ob die jeweilige Kombination von Benutzername und Passwort in einem Datenleak gestohlener Zugangsdaten bekannt wurde.
Der Abgleich erfolgt mit einer internen Datenbank von über vier Milliarden unsicheren Anmeldedaten, die Googles Sicherheitsexperten aus Datenleaks der letzten Jahre zusammengetragen haben. Die Überprüfung erfolgt bei manueller Eingabe ebenso wie bei Anmeldedaten, die im Passwortmanager des Chrome-Browsers gespeichert sind. In ähnlicher Weise erfolgt eine solche Überprüfung schon länger bei Google-Konten. Hierbei wurden schon millionenfach Passwörter zurückgesetzt, wenn Anmeldedaten aus neuen Datenleaks bekannt wurden und Nutzer dieselben Anmeldedaten zugleich bei Google verwendet hatten.
Bein einer Übereinstimmung gibt die Erweiterung eine unübersehbare Warnung aus und fordert zur Änderung der Anmeldedaten auf. Google selbst bezeichnet Password Checkup als ein frühes Experiment, das aber von Anfang an umsetzbare Warnungen liefern und nicht nur informieren soll. Die konkrete Handlungsempfehlung bei kompromittierten Anmeldedaten laute stets Rücksetzung und Änderung des Passworts. Um einen Gewöhnungseffekt zu vermeiden, erfolge eine Warnung ausschließlich, wenn feststeht, dass die Anmeldedaten für ein Konto in die Hände eines Angreifers gefallen sind. Warnungen etwa aufgrund schwacher Passwörter wie „123456“ gibt das Tool nicht aus.
Um den Datenaustausch während der Überprüfung zu sichern, setzt Google eine Kombination von Anonymisierung und Verschlüsselung ein, darunter eine als „Blinding“ bekannte Technik. Googles Security Blog führt den technischen Hintergrund näher aus. Die Erweiterung wurde demnach zusammen mit Verschlüsselungsexperten der Stanford University entwickelt – und mit dem Ziel, dass Google selbst niemals Kenntnis von Benutzername oder Passwort bekommt.
Die Entwickler wollen die erste Version von Password Checkup in den kommenden Monaten weiter verbessern. Sie denken außerdem daran, das Interface des Dienstes in Zukunft als offene Anwendungsschnittstelle verfügbar zu machen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
