Google-Erweiterung warnt vor gestohlenen Zugangsdaten

Google hat mit Password Checkup eine Chrome-Erweiterung für die Passwortüberprüfung veröffentlicht. Bei jeder Anmeldung auf einer Webseite prüft diese, ob die jeweilige Kombination von Benutzername und Passwort in einem Datenleak gestohlener Zugangsdaten bekannt wurde.

Der Abgleich erfolgt mit einer internen Datenbank von über vier Milliarden unsicheren Anmeldedaten, die Googles Sicherheitsexperten aus Datenleaks der letzten Jahre zusammengetragen haben. Die Überprüfung erfolgt bei manueller Eingabe ebenso wie bei Anmeldedaten, die im Passwortmanager des Chrome-Browsers gespeichert sind. In ähnlicher Weise erfolgt eine solche Überprüfung schon länger bei Google-Konten. Hierbei wurden schon millionenfach Passwörter zurückgesetzt, wenn Anmeldedaten aus neuen Datenleaks bekannt wurden und Nutzer dieselben Anmeldedaten zugleich bei Google verwendet hatten.

Bein einer Übereinstimmung gibt die Erweiterung eine unübersehbare Warnung aus und fordert zur Änderung der Anmeldedaten auf. Google selbst bezeichnet Password Checkup als ein frühes Experiment, das aber von Anfang an umsetzbare Warnungen liefern und nicht nur informieren soll. Die konkrete Handlungsempfehlung bei kompromittierten Anmeldedaten laute stets Rücksetzung und Änderung des Passworts. Um einen Gewöhnungseffekt zu vermeiden, erfolge eine Warnung ausschließlich, wenn feststeht, dass die Anmeldedaten für ein Konto in die Hände eines Angreifers gefallen sind. Warnungen etwa aufgrund schwacher Passwörter wie „123456“ gibt das Tool nicht aus.

Um den Datenaustausch während der Überprüfung zu sichern, setzt Google eine Kombination von Anonymisierung und Verschlüsselung ein, darunter eine als „Blinding“ bekannte Technik. Googles Security Blog führt den technischen Hintergrund näher aus. Die Erweiterung wurde demnach zusammen mit Verschlüsselungsexperten der Stanford University entwickelt – und mit dem Ziel, dass Google selbst niemals Kenntnis von Benutzername oder Passwort bekommt.

Die Entwickler wollen die erste Version von Password Checkup in den kommenden Monaten weiter verbessern. Sie denken außerdem daran, das Interface des Dienstes in Zukunft als offene Anwendungsschnittstelle verfügbar zu machen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

23 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

23 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago