Neues Chrome-Add-on Password Checkup prüft 4 Milliarden geleakte Zugangsdaten

Eine kostenlose Erweiterung von Google für Chrome prüft während der Eingabe auf Websites, ob Zugangsdaten kompromittiert sind.

95

06.02.2019, 10:35 Uhr

Lesezeit: 2 Min.

Security

Von

Dennis Schirrmacher

Googles Add-on Password Checkup für den Webbrowser Chrome prüft, ob Nutzernamen und Passwörter in geleakten Datensätzen auftauchen und rät im Ernstfall dazu, betroffene Passwörter zu ändern. Wer die Erweiterung nutzen will, muss mit einem Google-Account in Chrome angemeldet sein.

Die Prüfung geschieht in Echtzeit, wenn man sich auf einer beliebigen Website einloggt. Google zufolge gleichen sie eingegebene Zugangsdaten mit einer Liste mit derzeit rund vier Milliarden Einträgen ab. Aus welchen Quellen die Daten stammen, ist derzeit unbekannt. Bei der Prüfung setzen sie verschiedene kryptografische Verfahren ein, sodass selbst Google Nutzernamen und Passwörter bei der Prüfung nicht im Klartext einsehen kann.

Passwörter und Internetsicherheit: Gegen die Angst im Netz
Safer Internet Day 2019: Gemeinsam gegen Hate Speech im Netz
Kommentar: Zieht endlich die Online-Anbieter zur Verantwortung!
Kommentar: Warum der Ändere-Dein-Passwort-Tag gefährlicher Unsinn ist
Gute Passwörter erzeugen und sicher verwenden
Sechzehn Passwortmanager im Test
Zwei-Faktor-Authentifizierung: Wer sie anbietet, wie sicher sie ist
#TGIQF – das Quiz zum Internationalen "Ändere dein Passwort"-Tag

Die Entwickler weisen darauf hin, dass Password Checkup Betroffene ausschließlich warnt, wenn die Kombination von Nutzername und Passwort in einem ihnen vorliegenden Datenleak auftaucht. Interessierte können Password Checkup kostenlos im Web Store von Chrome herunterladen.

Datenabgleich geschützt

Google verspricht beim Umgang mit Zugangsdaten eine hohe Sicherheit. Das sollen verschiedene kryptografische Verfahren garantieren.

Eigenen Angaben zufolge speichert Google geleakte Zugangsdaten als Hash-Wert und verschlüsselt in seiner Datenbank. Als Hash-Algorithmus kommt Argon2 zum Einsatz – der Ansatz ist derzeit State of the Art und gilt als sicher. Bei der Verschlüsselung setzen sie auf elliptische Kurven – den geheimen Schlüssel kennt nur Google.

Geben Nutzer des Add-ons nun Zugangsdaten auf einer Website ein, kommt abermals Argon2 zum Einsatz und die Verschlüsselung geschieht mit einem geheimen Schlüssel, den nur der Nutzer kennt. Damit niemand bei der Übertragung der Daten an Googles Server schnüffeln kann, werden die Daten mittels dem kryptografischen Verfahren kryptografischen Verfahre Blinding codiert. Weitere Details dazu führt Google in einem Blog-Beitrag aus.

Durch diese Verfahren ist den Entwicklern zufolge sichergestellt, dass niemand die Daten im Klartext mitschneiden kann. Der eigentliche Abgleich findet lokal statt. Google betont außerdem, dass sie alle Nutzerinformationen anonymisiert verarbeiten.

Konfigurieren

Bei Bedarf kann man in den Einstellungen der Erweiterung Websites von der Prüfung ausschließen. Außerdem kann man in den erweiterten Einstellungen lokal gespeicherte Informationen von Zugangsdaten löschen. Weitere Möglichkeiten der Konfiguration kann man auf einer Hilfe-Website nachlesen.

Siehe dazu auch: