Have I Been Pwned?

Webseite über Passwortsicherheit

Have I Been Pwned? (stilisiert als ’;--have i been pwned?, „pwned“ steht für „owned“,[1] wird jedoch wie „poned“ ausgesprochen,[2] übersetzt in etwa „Hat's mich erwischt?“)[1] ist eine Website, auf der Nutzer überprüfen können, ob ihre persönlichen Daten durch Datenlecks kompromittiert wurden. Der Dienst greift auf eine Vielzahl von Datenbankdumps und Pastebins zu und ermöglicht es dem Nutzer so Milliarden von geleakten Konten auf die eigenen Informationen zu durchsuchen. Über eine Anmeldung können Nutzer sich auch benachrichtigen lassen, wenn ihre Daten in zukünftigen Dumps auftauchen. Die Website gilt weithin als wertvolle Ressource für Internetnutzer, um ihre eigene Sicherheit und Privatsphäre zu überprüfen.[1][3][4][5]

Have I Been Pwned?
Internet-Sicherheit
Sprachen englisch
Gründer Troy Adam Hunt
Registrierung optional
Online seit 4. Dez. 2013
(aktualisiert 2023)
https://haveibeenpwned.com/

Im Juni 2019 hatte die Website im Durchschnitt etwa 160.000 Besucher pro Tag, fast drei Millionen aktive E-Mail-Abonnenten und enthielt Datensätze von fast acht Milliarden Konten.[6]

Funktionen

Bearbeiten

Die Hauptfunktion der Website besteht darin, der Öffentlichkeit eine Möglichkeit zu geben, ihre privaten Informationen auf Kompromittierungen zu überprüfen. Besucher der Website können eine E-Mail-Adresse oder Telefonnummer angeben und erhalten eine Liste aller bekannten Datenschutzverletzungen, die in den Datensätzen auftauchen. Die Website enthält auch Details zu jeder Datenschutzverletzung, wie z. B. die Hintergrundgeschichte der Verletzung und welche spezifischen Arten von Daten betroffen waren.

Der Service bietet auch einen Benachrichtigungsdienst an, bei dem sich Besucher für Benachrichtigungen über künftige Datenschutzverletzungen anmelden können. Werden die angegebenen Daten in einem Datensatz gefunden, erhält der Nutzer eine E-Mail.

Im September 2014 fügte Troy Hunt eine Funktion hinzu, mit der neue Datenschutzverletzungen automatisiert in Echtzeit in die Datenbank von Have I Been Pwned? aufgenommen werden und Nutzer schon vor Berichterstattungen durch Dritte benachrichtigt werden können.[7]

Pwned passwords

Bearbeiten

Im August 2017 veröffentlichte Troy Hunt rund 306 Millionen Passwörter, die über eine Websuche abgerufen oder im Ganzen heruntergeladen werden konnten.[8] Im Februar 2018 entwickelte der britische Informatiker Junade Ali ein Kommunikationsprotokoll, mit dem überprüft werden kann, ob ein Passwort geleakt wurde, ohne dass das gesuchte Passwort vollständig offengelegt wird.[9][10] Adam Hunt implementierte das Protokoll in seinen Service, welcher seitdem von mehreren Websites und Diensten (wie Passwortmanager[11][12] und Browsererweiterungen[13][14]) genutzt wird. Dieser Ansatz wurde später von Googles Password-Überprüfung übernommen.[15][16][17] Ali arbeitete mit der Cornell University zusammen, um das Protokoll formal zu analysieren, um Einschränkungen zu ermitteln und zwei neue Versionen des Protokolls zu entwickeln.[18]

Einzelnachweise

Bearbeiten
  1. a b c Markus Schmidt: Have I Been Pwned: Online-Konto gehackt? Finden Sie es heraus! In: Computerbild. Abgerufen am 15. Februar 2023.
  2. What Does 'Pwn' Mean? In: Mirriam Webster. Abgerufen am 15. Februar 2023 (englisch).
  3. Rob Price: There's an easy way to see whether you've been affected by the Ashley Madison leak and previous massive hacks. In: Businessinsider. Abgerufen am 15. Februar 2023 (amerikanisches Englisch).
  4. Have I Been Pwned. In: Chip. 4. Mai 2022, abgerufen am 15. Februar 2023.
  5. Kai Sommer: Have I Been Pwned Deutsch: Wird Ihre E-Mail-Adresse im Internet verkauft? In: Verbraucherschutz.com. 11. Januar 2019, abgerufen am 15. Februar 2023 (deutsch).
  6. Project Svalbard: The Future of Have I Been Pwned. In: Troy Hunt. 11. Juni 2019, abgerufen am 15. Februar 2023 (englisch).
  7. Patrick Howell O'Neill: How to find out if you've been hacked in under a minute. In: The Daily Dot. 16. September 2014, abgerufen am 15. Februar 2023 (amerikanisches Englisch).
  8. Rachel England: Need a new password? Don't choose one of these 306 million. In: engadget. Abgerufen am 15. Februar 2023 (amerikanisches Englisch).
  9. Jon Brodkin: Find out if your password has been pwned—without sending it to a server. 23. Februar 2018, abgerufen am 15. Februar 2023 (amerikanisches Englisch).
  10. Natasha Lomas: 1Password bolts on a 'pwned password' check. In: TechCrunch. 23. Februar 2018, abgerufen am 15. Februar 2023 (amerikanisches Englisch).
  11. Mitchel Broussard: 1Password Integrates With 'Pwned Passwords' to Check if Your Passwords Have Been Leaked Online. In: MacRumors. 23. Februar 2018, abgerufen am 15. Februar 2023 (englisch).
  12. Kate Conger: 1Password Helps You Find Out if Your Password Is Pwned. In: Gizmodo. 23. Februar 2018, abgerufen am 15. Februar 2023 (englisch).
  13. Stephanie Condon: Okta offers free multi-factor authentication with new product, One App. In: ZDnet. Abgerufen am 15. Februar 2023 (englisch).
  14. Michael J. Coren: The world’s biggest database of hacked passwords is now a Chrome extension that checks yours automatically. In: Quartz. 23. Mai 2018, abgerufen am 15. Februar 2023 (englisch).
  15. Paul Wagenseil published: Google's New Chrome Extension Finds Your Hacked Passwords. 5. Februar 2019, abgerufen am 15. Februar 2023 (englisch).
  16. Sergiu Gatlan: Google Launches Password Checkup Extension to Alert Users of Data Breaches. In: Bleeping Computer. Abgerufen am 15. Februar 2023 (amerikanisches Englisch).
  17. Melisha Dsouza: Google’s new Chrome extension ‘Password CheckUp’ checks if your username or password has been exposed to a third party breach. 6. Februar 2019, abgerufen am 15. Februar 2023 (amerikanisches Englisch).
  18. Lucy Li, Bijeeta Pal, Junade Ali, Nick Sullivan, Rahul Chatterjee, Thomas Ristenpart: Protocols for Checking Compromised Credentials. In: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. ACM, London United Kingdom 2019, ISBN 978-1-4503-6747-9, S. 1387–1403, doi:10.1145/3319535.3354229 (acm.org [abgerufen am 15. Februar 2023]).