Geleaktes Passwort (Pwned)
Was ist Geleaktes Passwort (Pwned)?
Geleaktes Passwort (Pwned)Passwort, das in einem bekannten Datenleck aufgetaucht ist und daher gemass dem Have-I-Been-Pwned-Dienst von Troy Hunt nie als Benutzergeheimnis zugelassen werden darf.
Ein 'pwned' Passwort taucht bereits in oeffentlichen Leak-Korpora auf und ist damit Teil der Worterbucher, die Angreifer fur Credential Stuffing und Password Spraying nutzen. Die Referenz ist der Pwned-Passwords-Datensatz von Have I Been Pwned (HIBP), den Troy Hunt betreibt; er enthalt aktuell mehr als eine Milliarde eindeutige SHA-1-Hashes und stellt eine k-Anonymitats-API bereit: Der Client schickt nur die ersten funf Hex-Zeichen des Hashes und erhalt die Liste passender Suffixe, sodass das Passwort den Client nie verlasst. NIST SP 800-63B Abschnitt 5.1.1.2 verlangt ausdrucklich den Abgleich neuer oder geanderter Passworter mit solchen Korpora. Cloudflare, 1Password und Okta haben die HIBP-API in ihre Flows integriert.
● Beispiele
- 01
Ein Nutzer setzt 'P@ssw0rd123' und das Registrierungsformular blockt ab, weil das Passwort uber 3 Mio. Mal in HIBP vorkommt.
- 02
AD-Modul, das regelmaessig alle NTLM-Hashes der Konten gegen den offline Pwned-Passwords-Korpus prueft.
● Häufige Fragen
Was ist Geleaktes Passwort (Pwned)?
Passwort, das in einem bekannten Datenleck aufgetaucht ist und daher gemass dem Have-I-Been-Pwned-Dienst von Troy Hunt nie als Benutzergeheimnis zugelassen werden darf. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Geleaktes Passwort (Pwned)?
Passwort, das in einem bekannten Datenleck aufgetaucht ist und daher gemass dem Have-I-Been-Pwned-Dienst von Troy Hunt nie als Benutzergeheimnis zugelassen werden darf.
Wie funktioniert Geleaktes Passwort (Pwned)?
Ein 'pwned' Passwort taucht bereits in oeffentlichen Leak-Korpora auf und ist damit Teil der Worterbucher, die Angreifer fur Credential Stuffing und Password Spraying nutzen. Die Referenz ist der Pwned-Passwords-Datensatz von Have I Been Pwned (HIBP), den Troy Hunt betreibt; er enthalt aktuell mehr als eine Milliarde eindeutige SHA-1-Hashes und stellt eine k-Anonymitats-API bereit: Der Client schickt nur die ersten funf Hex-Zeichen des Hashes und erhalt die Liste passender Suffixe, sodass das Passwort den Client nie verlasst. NIST SP 800-63B Abschnitt 5.1.1.2 verlangt ausdrucklich den Abgleich neuer oder geanderter Passworter mit solchen Korpora. Cloudflare, 1Password und Okta haben die HIBP-API in ihre Flows integriert.
Wie schützt man sich gegen Geleaktes Passwort (Pwned)?
Schutzmaßnahmen gegen Geleaktes Passwort (Pwned) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Geleaktes Passwort (Pwned)?
Übliche alternative Bezeichnungen: Kompromittiertes Passwort, Geleaktes Passwort, HIBP-Passwort.
● Verwandte Begriffe
- identity-access№ 798
Passwortrichtlinie
Dokumentierter Regelsatz dafur, wie Benutzerpasswoerter erstellt, gespeichert, gewechselt und gepruft werden, um Sicherheit und Benutzbarkeit auszubalancieren.
- identity-access№ 795
Passwort
Eine geheime Zeichenfolge, die ein Nutzer angibt, um seine Identität gegenüber einem System nachzuweisen; traditionell der dominierende Einfaktor-Authentifizierungsmechanismus.
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
- attacks№ 800
Password Spraying
Langsamer, breit gestreuter Angriff, der wenige gängige Passwörter gegen viele Konten testet und dabei unter Lockout- und Rate-Limit-Schwellen bleibt.
- attacks№ 275
Datenschutzverletzung
Bestaetigter Sicherheitsvorfall, bei dem ein Unbefugter auf sensible, geschuetzte oder vertrauliche Informationen zugreift, sie entwendet oder offenlegt.
- identity-access№ 797
Passwort-Manager
Eine Anwendung, die starke, einmalige Zugangsdaten erzeugt, speichert und automatisch einsetzt; abgesichert durch eine Master-Passphrase und zunehmend auch Passkeys.
● Siehe auch
- № 796Passwort-Entropie