Neues Chrome-Add-on Password Checkup prüft 4 Milliarden geleakte Zugangsdaten

Googles Add-on Password Checkup für den Webbrowser Chrome prüft, ob Nutzernamen und Passwörter in geleakten Datensätzen auftauchen und rät im Ernstfall dazu, betroffene Passwörter zu ändern. Wer die Erweiterung nutzen will, muss mit einem Google-Account in Chrome angemeldet sein.

Die Prüfung geschieht in Echtzeit, wenn man sich auf einer beliebigen Website einloggt. Google zufolge gleichen sie eingegebene Zugangsdaten mit einer Liste mit derzeit rund vier Milliarden Einträgen ab. Aus welchen Quellen die Daten stammen, ist derzeit unbekannt. Bei der Prüfung setzen sie verschiedene kryptografische Verfahren ein, sodass selbst Google Nutzernamen und Passwörter bei der Prüfung nicht im Klartext einsehen kann.

Schwerpunkt: Sicher im Netz

• Passwörter und Internetsicherheit: Gegen die Angst im Netz
• Safer Internet Day 2019: Gemeinsam gegen Hate Speech im Netz
• Kommentar: Zieht endlich die Online-Anbieter zur Verantwortung!
• Kommentar: Warum der Ändere-Dein-Passwort-Tag gefährlicher Unsinn ist
• Gute Passwörter erzeugen und sicher verwenden
• Sechzehn Passwortmanager im Test
• Zwei-Faktor-Authentifizierung: Wer sie anbietet, wie sicher sie ist
• #TGIQF – das Quiz zum Internationalen "Ändere dein Passwort"-Tag

Die Entwickler weisen darauf hin, dass Password Checkup Betroffene ausschließlich warnt, wenn die Kombination von Nutzername und Passwort in einem ihnen vorliegenden Datenleak auftaucht. Interessierte können Password Checkup kostenlos im Web Store von Chrome herunterladen.

Datenabgleich geschützt

Eigenen Angaben zufolge speichert Google geleakte Zugangsdaten als Hash-Wert und verschlüsselt in seiner Datenbank. Als Hash-Algorithmus kommt Argon2 zum Einsatz – der Ansatz ist derzeit State of the Art und gilt als sicher. Bei der Verschlüsselung setzen sie auf elliptische Kurven – den geheimen Schlüssel kennt nur Google.

Geben Nutzer des Add-ons nun Zugangsdaten auf einer Website ein, kommt abermals Argon2 zum Einsatz und die Verschlüsselung geschieht mit einem geheimen Schlüssel, den nur der Nutzer kennt. Damit niemand bei der Übertragung der Daten an Googles Server schnüffeln kann, werden die Daten mittels dem kryptografischen Verfahren kryptografischen Verfahre Blinding codiert. Weitere Details dazu führt Google in einem Blog-Beitrag aus.

Durch diese Verfahren ist den Entwicklern zufolge sichergestellt, dass niemand die Daten im Klartext mitschneiden kann. Der eigentliche Abgleich findet lokal statt. Google betont außerdem, dass sie alle Nutzerinformationen anonymisiert verarbeiten.

Konfigurieren

Bei Bedarf kann man in den Einstellungen der Erweiterung Websites von der Prüfung ausschließen. Außerdem kann man in den erweiterten Einstellungen lokal gespeicherte Informationen von Zugangsdaten löschen. Weitere Möglichkeiten der Konfiguration kann man auf einer Hilfe-Website nachlesen.

Siehe dazu auch:

• Nach dem Passwort-Leak: Eigene Passwörter lokal checken

(des)