Ist Ihr Passwort-Hash bei einer Datenschutzverletzung durchgesickert? Was bedeutet das?

Im Oktober 2020 wurde bekannt, dass der beliebte Dienst Gravatar gehackt worden war und die Benutzernamen und gehashten E-Mail-Adressen durchgesickert waren. Im Mai 2014 litt Bitly unter einer Datenschutzverletzung, die dazu führte, dass die E-Mail-Adressen und Hash-Passwörter von fast 10 Millionen Benutzern durchgesickert waren. Dies sind nur einige Beispiele für Datenschutzverletzungen. Was können Sie tun, wenn Ihre E-Mail-Adresse, Ihre Passwörter und Ihre gehashten Passwörter Teil solcher Verstöße waren?

Eine sehr beliebte Methode, um herauszufinden, ob Ihr Benutzername, Ihre E-Mail-Adresse oder Ihr Passwort Teil einer Datenschutzverletzung war, besteht darin, eine Suche auf https://haveibeenpwned.com/ durchzuführen. Dort finden Sie sofort Informationen darüber, ob Ihre Telefonnummer oder Ihre E-Mail-Adresse Teil solcher Verstöße war. Es kann auch interessant sein , bei https://haveibeenpwned.com/Passwords nach Ihrem Passwort zu suchen.

Ich benutze auch einen Dienst namens Surfshark Alert, ein Teil meines Surfshark-Abonnements. Ich habe einige meiner IP-Adressen dort registriert und wenn eine von ihnen in einer neu gemeldeten Datenschutzverletzung enthalten ist, erhalte ich sofort eine Benachrichtigung. Eine ähnliche Funktion finden Sie auch im Passwort-Manager von NordVPN namens NordPass.

Hacking und Passwort-Hashes Datenschutzverletzungen

Ist Ihre E-Mail-Adresse und Ihr Passwort durchgesickert? Was ist zu tun?

Haben Sie den Status Ihrer E-Mail-Adresse überprüft? War die Adresse Teil von Datenschutzverletzungen? Die Tatsache, dass Ihre E-Mail-Adresse durchgesickert ist, ist an sich vielleicht nicht sehr gefährlich. Aber wurde die E-Mail-Adresse mit weiteren Informationen kombiniert? Wurde die E-Mail-Adresse zusammen mit einem 100% lesbaren Passwort durchgesickert? Wenn ja, ändern Sie Ihr Passwort so schnell wie möglich. Haben Sie auf mehreren Plattformen dieselbe E-Mail-Adresse und dasselbe Passwort verwendet? Sie sollten das Passwort für jedes einzelne Passwort ändern und die durchgesickerten Passwörter so schnell wie möglich entfernen.

Sind Sie auf vielen Websites registriert? Wie können Sie sich jedes Passwort merken, wenn Sie überall unterschiedliche Passwörter verwenden?

Es ist kein Zufall, dass Passwort-Manager sehr beliebt (und notwendig) sind. Diese helfen Ihnen, sichere Passwörter zu generieren und an einem sicheren Ort zu speichern. Infolgedessen ist das einzige Passwort, an das Sie sich erinnern müssen, Ihr sehr sicheres Master-Passwort in Kombination mit Ihrer E-Mail-Adresse. Der Rest ist die Arbeit des Passwort-Managers. Es gibt viele großartige Passwort-Manager da draußen. Persönlich kann ich NordPass und LastPass wärmstens empfehlen.

Diese Passwort-Manager werden mit Browsererweiterungen und mobilen Anwendungen geliefert. Dadurch haben Sie alle Ihre Passwörter leicht zugänglich, wann immer Sie sie benötigen.

Aber was ist, wenn Sie eine Warnung erhalten haben, dass Ihr Passwort-Hash durchgesickert ist? Ist das gefährlich? Was bedeutet es, dass Ihr Passwort-Hash durchgesickert ist?

Mein Passwort-Hash ist durchgesickert. Ist es gefährlich? Was bedeutet das?

Vielleicht ist Ihr Passwort nicht durchgesickert, aber Ihr Passwort-Hash ist durchgesickert. Was bedeutet das? Sollten Sie sich Sorgen machen?

Was ist ein Passwort-Hash?

Viele Dienstanbieter fügen eine zusätzliche Sicherheitsebene hinzu, wenn sie ihre Benutzerdaten speichern. Anstatt Ihr Passwort in normalen Wörtern und Buchstaben zu speichern, codieren sie es mit verschiedenen Hashing-Technologien. Nehmen wir an, Sie registrieren einen neuen Benutzer bei mynewwebsite.com mit den folgenden Daten.

Wenn der Anbieter diese Informationen hasht, werden sie wie folgt in seiner Datenbank gespeichert.

  • E-Mail: [email protected] (wenn sie es mit MD5 hashen würden, wäre es: 4dec7aa05010e30721aa8714e9339a9e)
  • Passwort: 25d55ad283aa400af464c76d713c07ad (MD5), 7c222fb2927d828af22f592134e8932480637c0d (SHA1)

Oben sehen Sie mein Passwort 12345678 codiert mit dem MD5 und dem SHA1 Hashing-Algorithmus.

Wenn jemand diese Daten sehen und versuchen würde, sich mit Ihrem Konto auf mynewwebsite.com mit der E-Mail-Adresse und dem Hash anzumelden, würde es nicht funktionieren. Sie können sich nicht bei Ihrem Konto anmelden. Bedeutet das, dass Sie sich keine Sorgen machen müssen?

Müssen Sie sich Sorgen machen, wenn Ihr Passwort-Hash durchgesickert ist?

Hier gibt es Probleme, die Sie beachten sollten. Wenn Sie denselben Hashalgorithmus verwenden und dasselbe Kennwort codieren, ist der Ergebnis-Hash immer derselbe. Was bedeutet das? Wenn Sie das gleiche Passwort wie ich verwenden (12345678) und den gleichen Hashing-Algorithmus verwenden, erhalten Sie das gleiche Ergebnis (Hash). Aus diesem Grund finden Sie Datenbanken, die Hashes mit häufig verwendeten Passwörtern verbinden.

Wenn Sie zu https://crackstation.net/ gehen und die beiden oben genannten Hashes eingeben, sehen Sie die folgenden Ergebnisse.

kostenloser Passwort-Hash-Cracker

Siehst du, was ich sehe? Ich habe einfach die Hashes auf der Website oben hinzugefügt und es zeigte mir sofort, welche Art von Algorithmus verwendet wurde und was das ursprüngliche Passwort war. Auf den ersten Blick mag der Hash sehr sicher erscheinen, aber in Wirklichkeit muss er es nicht sein. War Ihr Passwort-Hash Teil einer Datenschutzverletzung? Ich empfehle Ihnen, die obige Seite zu besuchen und zu überprüfen, ob Ihr Hash in sogenannten Regenbogentabellen exponiert wurde.

Etwas Salz könnte Ihnen zusätzlichen Schutz bieten!

Wie Sie oben sehen können, schützt Sie ein Passwort-Hash möglicherweise nicht sehr (wenn das Basispasswort ein bekanntes Passwort war). Hacker werden viel Rechenleistung zur Verfügung haben, was bedeutet, dass sie Ihren Hash schnell gegen Millionen von Passwörtern testen können (mit Wörterbüchern und zufälligen Buchstaben und Zahlen), was es noch beängstigender macht.

Um uns vor solchen Brute-Force-Angriffen zu schützen, ist es normal geworden, dem Hash Salz hinzuzufügen. Was bedeutet das?

In der Kryptographie besteht ein Salt aus zufälligen Daten, die als zusätzliche Eingabe für eine unidirektionale Funktion verwendet werden, die Daten, ein Kennwort oder eine Passphrase hasht.

Wikipedia (englisch)

Salz sind hier zusätzliche Daten, die dem Hash hinzugefügt werden. Infolgedessen wird Ihr Passwort nicht mehr als 12345678 gestrichelt, sondern Sie erhalten zusätzlich eine Reihe anderer Zeichen, die dem Passwort hinzugefügt werden. Unten sehen Sie ein Beispiel, in dem ich mein Passwort mit dem SHA256-Algorithmus mit und ohne Salz codiere.

  • 12345678 (SHA256, ohne Salz) = ef797c8118f02dfb649607dd5d3f8c7623048c9c063d532cc95c5ed7a898a64f
  • 12345678 (SHA256, mit Salz 1DoNtKn0w;-.,) = 9076e087e4a4da347685ee9ecc7b2b739cd3770ec3c9e8b703968c99d496200f
Hinzufügen von Salt zum Passwort-Hash

Wie Sie sehen können, sind die Hashes völlig unterschiedlich, und es wird für jeden viel schwieriger sein, den zweiten Hash aufgrund des Salzes, das dem Hash hinzugefügt wird, zu entschlüsseln. Es wird immer normaler, Salt zu gehashten Passwörtern hinzuzufügen, aber nicht überall.

Unabhängig davon, ob ein Dienst Salt zu Ihrem Passwort-Hash hinzufügt oder nicht, sollten Sie immer sichere Passwörter verwenden, die Buchstaben, Zahlen und Sonderzeichen kombinieren, da dies die Grundlage von allem ist. Sollte ein solches Passwort immer noch Teil einer Datenschutzverletzung sein, ändern Sie es schnell. Da Sie für alle Ihre Konten unterschiedliche Passwörter verwenden, sind Sie immer noch sicher!


Ich hoffe, dieser Artikel hat es geschafft, die Fragen zu beantworten, die Sie hatten, bevor Sie den Artikel gelesen haben. Wenn Ihr Passwort und/oder Ihr Passwort-Hash Teil von Datenschutzverletzungen waren, seien Sie vorsichtig und ergreifen Sie die notwendigen Schritte, um Ihre Konten in Zukunft zu schützen.

Wenn Sie weitere Kommentare oder Fragen haben, verwenden Sie bitte das Kommentarfeld unten.

Kommentar verfassen