KitMul MarkKitMul Text

Kompromittierte Passworter Prufen

Pruefen Sie, ob Ihr Passwort in bekannten Datenlecks offengelegt wurde, mithilfe der Have I Been Pwned API mit K-Anonymitaet-Schutz.

Ueberpruefen Sie, ob Ihr Passwort in einem bekannten Datenleck aufgetaucht ist, ohne es preiszugeben. Dieses Tool verwendet die Have I Been Pwned API mit K-Anonymitaet; nur die ersten 5 Zeichen des SHA-1-Hashs werden ueber das Netzwerk gesendet. Der vollstaendige Vergleich findet lokal in Ihrem Browser statt, sodass Ihr tatsaechliches Passwort nie an einen Server uebertragen wird.

Loading...
Deine Daten bleiben in deinem Browser
War dieses Tool hilfreich?
Anleitung

So Pruefen Sie, Ob Ihr Passwort Kompromittiert Wurde

1
1

Geben Sie Ihr Passwort Ein

Tippen oder fuegen Sie das Passwort, das Sie pruefen moechten, in das Eingabefeld ein. Ihr Passwort bleibt auf Ihrem Geraet und wird nie an einen Server gesendet.

2
2

Klicken Sie auf Passwort Pruefen

Das Tool hasht Ihr Passwort lokal mit SHA-1, sendet nur die ersten 5 Hash-Zeichen an die Have I Been Pwned API und vergleicht den Rest in Ihrem Browser.

3
3

Ueberpruefen Sie die Ergebnisse

Wenn Ihr Passwort in Datenlecks gefunden wurde, aendern Sie es sofort auf allen Konten, die es verwenden. Wenn es nicht gefunden wurde, garantiert das keine Sicherheit; verwenden Sie immer starke, einzigartige Passwoerter.

Guide

Vollstaendiger Leitfaden zur Pruefung Kompromittierter Passwoerter

Warum die Pruefung auf Kompromittierte Passwoerter Wichtig Ist

Credential Stuffing ist heute einer der haeufigsten Angriffsvektoren. Angreifer nehmen Benutzername-Passwort-Paare aus einem Datenleck und probieren sie auf Tausenden anderer Dienste. Wenn Ihr Passwort in irgendeiner Datenleck-Datenbank erscheint, ist jedes Konto, das dieses Passwort verwendet, gefaehrdet. Die regelmaessige Pruefung Ihrer Passwoerter gegen bekannte Datenlecks ist ein grundlegender Teil der persoenlichen und organisatorischen Sicherheitshygiene.

Wie K-Anonymitaet Ihre Privatsphaere Schuetzt

Das K-Anonymitaet-Modell, von Cloudflare und Troy Hunt fuer die HIBP-API entwickelt, stellt sicher, dass Ihr vollstaendiger Passwort-Hash nie uebertragen wird. Ihr Browser berechnet den SHA-1-Hash lokal, sendet nur die ersten 5 Hex-Zeichen (den Praefix) an die API und erhaelt alle Hash-Suffixe zurueck, die mit diesem Praefix uebereinstimmen. Ihr Browser prueft dann, ob Ihr vollstaendiges Hash-Suffix in der zurueckgegebenen Menge erscheint. Der Server erfaehrt nie, nach welchem Hash Sie tatsaechlich gesucht haben, und schuetzt so Ihre Privatsphaere vollstaendig.

Was Tun, Wenn ein Passwort Kompromittiert Ist

Wenn ein Passwort in einem Datenleck gefunden wird, aendern Sie es sofort auf jedem Dienst, wo Sie es verwendet haben. Aktivieren Sie die Zwei-Faktor-Authentifizierung wo immer moeglich. Erwaegen Sie den Wechsel zu einem Passwort-Manager, der lange, zufaellige Passwoerter generiert, die fuer jedes Konto einzigartig sind. Verwenden Sie Passwoerter nie zwischen Diensten wieder, da ein einziges Datenleck zu mehreren Konto-Kompromittierungen fuehren kann.

Aufbau einer Starken Passwort-Strategie

Verwenden Sie einen Passwort-Manager, um einzigartige, zufaellige Passwoerter mit mindestens 16 Zeichen fuer jedes Konto zu generieren und zu speichern. Aktivieren Sie die Zwei-Faktor-Authentifizierung auf allen kritischen Konten. Ueberpruefen Sie regelmaessig Ihre gespeicherten Passwoerter gegen Datenleck-Datenbanken. Vermeiden Sie Muster, Woerterbuchwoerter und persoenliche Informationen. Eine starke Passwort-Strategie kombiniert mit regelmaessigen Datenleck-Pruefungen reduziert Ihr Risiko einer Konto-Kompromittierung dramatisch.

Sources

Examples

Beispiele fuer Passwort-Pruefungen

Pruefung eines Gaengigen Passworts

Ein Benutzer moechte ueberpruefen, ob das Passwort 'password123' in Datenlecks aufgetaucht ist.

1

Geben Sie 'password123' in das Passwortfeld ein

2

Klicken Sie auf Passwort Pruefen

3

Das Tool meldet, dass das Passwort in Millionen von Datenlecks gefunden wurde

Passwort Kompromittiert! Dieses Passwort wurde in ueber 250.000 Datenlecks gesehen. Aendern Sie es sofort.

Pruefung eines Einzigartigen Passworts

Ein Benutzer testet ein zufaellig generiertes 20-Zeichen-Passwort aus seinem Passwort-Manager.

1

Fuegen Sie das generierte Passwort in das Feld ein

2

Klicken Sie auf Passwort Pruefen

3

Das Tool bestaetigt, dass keine Uebereinstimmungen gefunden wurden

Passwort Nicht in Datenlecks Gefunden. Keine Uebereinstimmungen in der HIBP-Datenbank, obwohl dies allein keine absolute Sicherheit garantiert.

Anwendungsfälle

Anwendungsfaelle der Datenleck-Pruefung

Ueberpruefen Sie Ihre Aktuellen Passwoerter

Pruefen Sie jedes in Ihrem Passwort-Manager gespeicherte Passwort gegen die Datenleck-Datenbank. Wenn eines auftaucht, aendern Sie es sofort und aktivieren Sie die Zwei-Faktor-Authentifizierung auf diesen Konten, um das Risiko von Credential-Stuffing-Angriffen zu reduzieren.

Validieren Sie Neue Passwoerter Vor der Verwendung

Bevor Sie ein neues Passwort bei einem Dienst festlegen, pruefen Sie es mit diesem Checker, um sicherzustellen, dass es nicht bereits in einem frueheren Datenleck kompromittiert wurde. Dies gibt zusaetzliches Vertrauen, dass Ihre neue Credential nicht im Woerterbuch eines Angreifers steht.

Schulen Sie Teams zur Passwort-Hygiene

Verwenden Sie dieses Tool in Sicherheitsbewusstseins-Schulungen, um zu demonstrieren, wie gaengige Passwoerter wie 'password123' in Millionen von Datenlecks auftauchen. Das Sehen realer Zahlen motiviert Mitarbeiter, Passwort-Manager und staerkere Credentials zu verwenden.

Haeufig Gestellte Fragen

?Wird mein Passwort an einen Server gesendet?

Nein. Ihr Passwort wird vollstaendig in Ihrem Browser mit SHA-1 gehasht. Nur die ersten 5 Zeichen des Hashs werden an die Have I Been Pwned API gesendet. Der vollstaendige Hash wird lokal verglichen, sodass Ihr tatsaechliches Passwort Ihr Geraet nie verlaesst.

?Was ist K-Anonymitaet und wie schuetzt sie mich?

K-Anonymitaet ist eine Privatsphaere-Technik, bei der nur ein kleiner Praefix des Hashs an den Server gesendet wird, der alle Hashs zurueckgibt, die mit diesem Praefix uebereinstimmen. Ihr Browser prueft die Uebereinstimmung lokal. Das bedeutet, der Server weiss nie, welches spezifische Passwort Sie pruefen.

?Was bedeutet es, wenn mein Passwort in Datenlecks gefunden wird?

Es bedeutet, dass Ihr genaues Passwort in mindestens einem oeffentlich bekannten Datenleck aufgetaucht ist. Angreifer verwenden diese Listen fuer Credential-Stuffing-Angriffe. Sie sollten es sofort auf jedem Dienst aendern, wo Sie es verwendet haben.

?Mein Passwort wurde nicht gefunden. Ist es sicher?

Nicht unbedingt. Es bedeutet nur, dass es nicht in der Have I Been Pwned Datenbank gefunden wurde. Ein Passwort kann immer noch schwach, erratbar oder anfaellig fuer Brute-Force-Angriffe sein. Verwenden Sie immer lange, einzigartige Passwoerter oder einen Passwort-Manager.

?Was ist die Have I Been Pwned Datenbank?

Have I Been Pwned ist ein kostenloser Dienst, der vom Sicherheitsforscher Troy Hunt erstellt wurde. Er aggregiert Daten aus oeffentlich bekannten Datenlecks und enthaelt derzeit ueber 900 Millionen einzigartige Passwoerter, was ihn zum groessten verfuegbaren Datenleck-Passwort-Datensatz macht.

?Kann dieses Tool mein Passwort sehen oder speichern?

Nein. Das Tool laeuft vollstaendig in Ihrem Browser. Ihr Passwort wird clientseitig verarbeitet, um den SHA-1-Hash zu generieren. Nichts wird protokolliert, gespeichert oder irgendwohin gesendet, ausser dem 5-Zeichen-Hash-Praefix an die API.

?Wie wird SHA-1 hier verwendet, wenn es als gebrochen gilt?

SHA-1 gilt als schwach fuer digitale Signaturen, ist aber fuer diesen Anwendungsfall voellig ausreichend. Die Have I Been Pwned API verwendet SHA-1 als Suchschluessel, nicht als Sicherheitsmechanismus. Das K-Anonymitaet-Modell stellt sicher, dass keine nuetzlichen Informationen preisgegeben werden.

?Ist dieses Tool kostenlos?

Ja. Voellig kostenlos ohne Einschraenkungen, keine Anmeldung erforderlich. Pruefen Sie so viele Passwoerter wie noetig ohne jegliche Einschraenkung.

?Sollte ich meine Passwoerter regelmaessig pruefen?

Ja. Neue Datenlecks werden haeufig offengelegt und die Datenbank waechst mit der Zeit. Ein Passwort, das letzten Monat sicher war, koennte in einem neuen Datenleck auftauchen. Regelmaessige Pruefungen helfen Ihnen, Angreifern voraus zu sein.

?Funktioniert das offline?

Nein. Das Tool muss die Have I Been Pwned API abfragen, um den Hash-Bereich abzurufen. Allerdings werden nur 5 Zeichen des Hashs gesendet, nicht Ihr Passwort. Eine Internetverbindung ist fuer die Abfrage erforderlich.

Hilf uns besser zu werden

Wie gefällt Ihnen dieses Tool?

Jedes Tool bei Kitmul wird auf Basis echter Nutzeranfragen gebaut. Ihre Bewertung und Ihre Vorschläge helfen uns, Bugs zu beheben, fehlende Funktionen hinzuzufügen und die Tools zu bauen, die Sie wirklich brauchen.

Dieses Tool bewerten

Tippen Sie auf einen Stern, um uns zu sagen, wie nützlich dieses Tool für Sie war.

Vorschlag machen oder Bug melden

Eine Funktion fehlt? Einen Bug gefunden? Haben Sie eine Idee? Sagen Sie es uns und wir schauen es uns an.

Ähnliche Tools

Verschluesseln und Entschluesseln mit AES

Verschluesseln und entschluesseln Sie Text mit AES-CBC oder AES-GCM direkt in Ihrem Browser mit der Web Crypto API.

Tool testen

Base58 Kodieren und Dekodieren

Kodieren Sie Text in Base58 und dekodieren Sie Base58 zuruck in Text mit dem Bitcoin-Alphabet.

Tool testen

Bcrypt-Hash-Generator

Generieren und verifizieren Sie Bcrypt-Passwort-Hashes sicher in Ihrem Browser.

Tool testen
Empfohlene Lektüre

Empfohlene Buecher ueber Passwortsicherheit und Datenlecks

Web Application Hacker's Handbook

Web Application Hacker's Handbook

Dafydd Stuttard

The Code Book

The Code Book

Simon Singh

Crypto: How the Code Rebels Beat the Government

Crypto: How the Code Rebels Beat the Government

Steven Levy

Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Erweitern Sie Ihre Fähigkeiten

Sicherheitstools fuer Passwortschutz

YubiKey 5 NFC — Hardware-Sicherheitsschluessel fuer MFA

YubiKey 5 NFC — Hardware-Sicherheitsschluessel fuer MFA

Yubico

Apricorn Aegis Secure Key — 256-Bit AES-verschluesseltes USB-Laufwerk

Apricorn Aegis Secure Key — 256-Bit AES-verschluesseltes USB-Laufwerk

Apricorn

Kingston IronKey Vault — FIPS 197 zertifiziertes verschluesseltes Flash-Laufwerk

Kingston IronKey Vault — FIPS 197 zertifiziertes verschluesseltes Flash-Laufwerk

Kingston

Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Newsletter

Erhalte Produktivitätstipps und Neue Tools Zuerst

Schließe dich Machern und Entwicklern an, die Datenschutz schätzen. Jede Ausgabe: neue Tools, Produktivitäts-Hacks und Updates — kein Spam.

Prioritätszugang zu neuen Tools
Jederzeit abbestellen, ohne Rückfragen