Erst vor kurzem haben wir uns in einem Tipp-Artikel mit dem Google Password Manager, den viele eigentlich gar nicht nutzen, beschäftigt. Nun war am 1. Februar der “Ändere dein Passwort“-Tag. Dieser soll dazu dienen, sich mehr Gedanken über die eigenen, vergebenen Passwörter zu machen. Denn noch immer sind Passwörter wie “12345”, “Liebe” und die Anfangsbuchstaben von Vor- und Zuname in Kombination mit dem Geburtsdatum beliebte Passwörter, da leicht zu merken, aber auch ebenso leicht zu knacken und abzugreifen. Google selbst hat in dieser Woche eine Add-On für den Google Chrome Browser veröffentlicht: Google Password Checkup zur Prüfung von Anmeldedaten. Und genau diese Add-On schauen wir uns für den heutigen Tipp-Artikel einmal an.
Was ist Google Password Checkup?
Das Add-On Google Password Checkup ist eine kostenlose Erweiterung für Google Chrome und prüft während der Eingabe von Anmeldedaten wie Nutzernamen und Passwort auf einer Webseite in Echtzeit, ob deine Anmeldedaten in geleakten Datensätzen auftauchen und somit in Gefahr sind. Wird eine Gefahr erkannt, schlägt das Tool Alarm und du solltest besser deine Anmeldedaten ändern.
Nach dem Download des Add-Ons kannst du in den Einstellungen der Erweiterung den Password Checkup konfigurieren, indem du zum Beispiel Webseiten von der Prüfung ausschließt. Außerdem kannst du in den erweiterten Einstellungen lokal gespeicherte Informationen der eingegebenen Zugangsdaten auch wieder löschen. Die Einstellungen rufst du per Klick auf das Icon in der Statusleiste auf.
Wie funktioniert Google Password Checkup?
Laut Google gleicht Password Checkup die eingegebenen Zugangsdaten auf der Webseite mit einer Liste aus derzeit vier Milliarden Einträgen ab, die Google bekannt sind und von denen das Unternehmen weiß, dass sie unsicher sind. Die Quellen, aus der die Daten für den Abgleich stammen, werden nicht genannt. Auch werden bei der Überprüfung nicht die eigentlichen Zugangsdaten gespeichert, sondern ein Hashwert, den das Passwort-Hashing-Verfahren Argon2 errechnet. Diese kryptographische Hashfunktion ordnet einem Kennwort einen eindeutigen Hashwert zu. Dieser Wert erlaubt aber keine Rückschlüsse auf das eigentliche Kennwort, was bedeutet, dass auch Google selbst keine Nutzernamen und Passwörter im Klartext einsehen kann.
Gibst du also dein Passwort und deinen Nutzernamen über Google Chrome auf einer Webseite ein, errechnet Passwort Checkup den Hashwert. Anschließend werden die Daten mit einem Verfahren namens Blindings noch einmal verschlüsselt und an Google übertragen. Dort wird der Hashwert von dir mit den vier Milliarden anderen Hashwerten aus der Google-Liste verglichen. Gibt es einen Treffer (also dann, wenn die Kombination aus Nutzernamen und Passwort genau identisch ist), erfolgt auf deinem PC ein Alarm. Wurde bei einem Datenleak dein Nutzername mit einem alten Passwort veröffentlicht, merkt Password Checkup das nicht.
Was ist eine Hashfunktion?
Eine Hashfunktion oder ein Algorithmus wandelt zum Beispiel Passwörter oder auch Nachrichten in eine Zeichenfolge mit einer festen Länge um. Dies ist dann der Hashwert. Jedes Passwort wird also durch eine Hashfunktion auf eine Zeichenfolge in einer bestimmten festgelegten Länge beziehungsweise in eine kleinere, kompakte Form gebracht.
Eine Hashfunktion sollte:
eine Einwegfunktion haben: Das bedeutet, dass aus dem Hashwert nicht wieder der originale Inhalt rückerzeugt werden kann. Speicherst du also ein Passwort ab, speicherst du eigentlich nur den Hashwert ab. Und aus diesem kannst du nicht mehr auf die Passwörter schließen.
Kollisionssicher sein: Das bedeutet, dass bei unterschiedlichen Passwörtern niemals derselbe Hashwert zugeordnet werden darf. Ist eine Hashfunktion kollisionssicher, nennt man sie kryptographische Hashfunktion.
Schnell sein: Das Verfahren für eine Berechnung des Hashwertes muss schnell sein.
Was ist ein Hashwert?
Der Hashwert ist das Ergebnis aus einer Berechnung der Hashfunktion. Der Hashwert besitzt eine feste Länge, um Daten/Nachrichten verschlüsselt zu versenden. Jede Nachricht hat einen eigenen Hashwert, ein Hashwert ist wie ein Fingerabdruck eines sehr langen Datensatzes.
Das Password Checkup-Ad-On vergleicht die Hashwerte untereinander. Findet es zwei gleiche Hashwerte kann man davon ausgehen, dass es sich dabei um ein geknacktes Passwort handelt.
Was ist Argon2
Argon2 ist ein Algorithmus, der neben der Authentifizierung auch zur Schlüsselableitung und für Kryptowährungen verwendet werden kann. Er wurde 2014 von Alex Biryukov, Daniel Dinu und Dmitry Khovratovich von der Uni Luxembourg vergestellt und gewann 2015 die PHC (Password Hashing Competition). Argon2 ist sicherer als bisherige Password-Hashing-Verfahren wie bcrypt oder PBKDF2. Mit Argon2 werden Passwörter durch Hashen so umgewandelt, dass man sie lokal auf Servern speichern kann. Diese Umwandlung ist fast nicht umkehrbar, was bedeutet, dass ein Angreifer der ein mit Argon2 “gehashtes” Passwort abgefangen hat dieses nur mit sehr hohem Aufwand wieder rückwandeln kann.
Was ist Blinding?
Als Blinding wird in der Kryptographie ein Verfahren bezeichnet, bei dem ein Client einen Dienst in einer kodierten Form nutzen kann ohne entweder die Ein- oder die Ausgabe zu kennen. Blinding findet besonders beim Verhindern von Seitenkanalattacken oder bei der “Identity-Based-Encryption IBE” Verwendung. Bei Blinding benötigt man einen Faktor zum Blinding/Enkodierung und einen zum Deblinding/Dekodierung
Welche Informationen bekommt Google bei der Nutzung von Password Checkup?
Google sagt zwar, dass sämtliche Daten völlig anonym bearbeitet werden, aber wir kennen ja Google. Google lebt von unseren Daten. Mike Kuketz von Kuketz IT-Security hat das Add-On einmal geprüft und herausgefunden, dass dieses auch die genutzte Domain überträgt. Somit erfasst Google, bei welchen Diensten sich der Nutzer eingeloggt hat, die Anzahl der Aufrufe von unsicheren Informationen und ob eine Warnung zu einer Passwortänderung angezeigt wurde. Man muss Google aber auch zugute halten, dass der Internetriese das Erfassen der Domain im Blogbeitrag angekündigt hat.
- Password Checkup was built with privacy in mind. It never reports any identifying information about your accounts, passwords, or device. We do report anonymous information about the number of lookups that surface an unsafe credential, whether an alert leads to a password change, and the domain involved for improving site coverage.
- Die Passwortüberprüfung wurde unter Berücksichtigung der Privatsphäre erstellt. Es meldet niemals identifizierende Informationen zu Ihren Konten, Kennwörtern oder Geräten. Wir melden anonyme Informationen über die Anzahl der Suchvorgänge, die einen unsicheren Berechtigungsnachweis anzeigen, ob eine Warnung zu einer Kennwortänderung führt, und die betroffene Domain, um die Abdeckung der Website zu verbessern.
Fazit
Das Add-On Google Password Checkup überprüft, ob deine Passwörter schlecht sind, ob diese schon in Benutzung sind oder durch einen Datenleak veröffentlicht wurden. Um Password Checkup zu nutzen muss man aber auf Googles Chrome-Browser angemeldet sein. Auch handelt es sich bei dem gerade veröffentlichten Add-On um eine erste Version, welche noch weiterentwickelt werden soll.
