Google hat mit Password Checkup eine Chrome-Erweiterung für die Passwortüberprüfung veröffentlicht. Bei jeder Anmeldung auf einer Webseite prüft diese, ob die jeweilige Kombination von Benutzername und Passwort in einem Datenleak gestohlener Zugangsdaten bekannt wurde.
Der Abgleich erfolgt mit einer internen Datenbank von über vier Milliarden unsicheren Anmeldedaten, die Googles Sicherheitsexperten aus Datenleaks der letzten Jahre zusammengetragen haben. Die Überprüfung erfolgt bei manueller Eingabe ebenso wie bei Anmeldedaten, die im Passwortmanager des Chrome-Browsers gespeichert sind. In ähnlicher Weise erfolgt eine solche Überprüfung schon länger bei Google-Konten. Hierbei wurden schon millionenfach Passwörter zurückgesetzt, wenn Anmeldedaten aus neuen Datenleaks bekannt wurden und Nutzer dieselben Anmeldedaten zugleich bei Google verwendet hatten.
Bein einer Übereinstimmung gibt die Erweiterung eine unübersehbare Warnung aus und fordert zur Änderung der Anmeldedaten auf. Google selbst bezeichnet Password Checkup als ein frühes Experiment, das aber von Anfang an umsetzbare Warnungen liefern und nicht nur informieren soll. Die konkrete Handlungsempfehlung bei kompromittierten Anmeldedaten laute stets Rücksetzung und Änderung des Passworts. Um einen Gewöhnungseffekt zu vermeiden, erfolge eine Warnung ausschließlich, wenn feststeht, dass die Anmeldedaten für ein Konto in die Hände eines Angreifers gefallen sind. Warnungen etwa aufgrund schwacher Passwörter wie „123456“ gibt das Tool nicht aus.
Um den Datenaustausch während der Überprüfung zu sichern, setzt Google eine Kombination von Anonymisierung und Verschlüsselung ein, darunter eine als „Blinding“ bekannte Technik. Googles Security Blog führt den technischen Hintergrund näher aus. Die Erweiterung wurde demnach zusammen mit Verschlüsselungsexperten der Stanford University entwickelt – und mit dem Ziel, dass Google selbst niemals Kenntnis von Benutzername oder Passwort bekommt.
Die Entwickler wollen die erste Version von Password Checkup in den kommenden Monaten weiter verbessern. Sie denken außerdem daran, das Interface des Dienstes in Zukunft als offene Anwendungsschnittstelle verfügbar zu machen.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…