Um Ihr Vertrauen in diesen Dienst zu steigern, hilft es womöglich Ihnen zu erklären, wie er überhaupt funktioniert. Mit dieser Information können Sie dann nochmal entscheiden, ob Sie Ihre Passwörter prüfen möchten.
Bei unserem Passwort-Check arbeiten wir mit dem Dritthersteller Have I been pwned? (HIBP) zusammen. Diese Seite wurde von Troy Hunt entwickelt, einem der anerkanntesten Cybersecurity-Experten weltweit. Seine Seite stellt uns eine große Datenbank an offengelegten und im Darknet angebotenen Passwörtern zur Verfügung, die wir mit Ihrem eingegebenen Passwort abgleichen. Dies geschieht verschlüsselt und anonymisiert, sodass wir unter keinen Umständen eine Verbindung zu Ihrer Person herstellen können.
Die Verschlüsselung und Anonymisierung geschieht in mehreren Stufen: Wenn sie Ihr Passwort eintragen und die Abfrage per Klick starten, wird es vor dem Abgleich mit der Datenbank noch in Ihrem Browser mithilfe eines SHA-1 Algorithmus' verschlüsselt. SHA steht für "Secure Hash Algorithm" und sorgt dafür, dass Ihr Passwort in einen Hash, also eine lange Kombination aus Buchstaben und Zahlen, umgewandelt wird.
Beispiel: Sollte Ihr Kennwort "passwort" lauten (was Sie niemals tun sollten!), generiert der Algorithmus den eindeutigen Hash 2e2b6533a81bc15430cf65de46dc097eeb5ba70c. Aus diesem Hash werden für den Abgleich nur die ersten fünf Zeichen an HIBP übertragen. Diese begrenzte Anzahl an Zeichen reicht aus, um Ihr Passwort mit der Datenbank abzugleichen, sie reichen jedoch nicht aus, um Rückschlüsse auf Ihr vollständiges Passwort zu ziehen.
Falls Sie weiterhin unsicher bei der Nutzung des Passwort-Checks sind, dann lesen Sie gerne die Datenschutzhinweise auf haveibeenpwned.com (englisch) durch. Dort erfahren Sie weitere Details zu Ihrer Passwortsicherheit, unter anderem dem Anonymisierungsverfahren k-Anonymity.
