Skip to content
Back to Blog
passwordsdata-breachpassword-checkerprivacy

So prüfst du, ob dein Passwort geleakt wurde

Falls eine von dir genutzte Website gehackt wurde, könnte dein Passwort bereits auf einer Liste stehen, die Angreifer wiederverwenden. Hier erfährst du, wie du es privat gegen Milliarden geleakter Zugangsdaten prüfst, mit k-Anonymität, sodass dein tatsächliches Passwort nie gesendet wird, und was du als Nächstes tun solltest.

SZ
Founder, Molixa
12 min read
Teilen
So prüfst du, ob dein Passwort geleakt wurde
Table of contents9 sections

Um zu prüfen, ob Ihr Passwort geleakt wurde, vergleichen Sie es mit Datenbanken von Zugangsdaten aus früheren Datenschutzverletzungen, idealerweise mit einer Methode namens k-Anonymität, die Ihr tatsächliches Passwort niemals überträgt. Der schnellste sichere Weg ist ein Leak-Checker, der Ihr Passwort lokal hasht und nur ein fünfstelliges Fragment dieses Hashs sendet. Wenn Ihr Passwort in einem bekannten Leak auftaucht, behandeln Sie es als kompromittiert und ändern Sie es überall, wo Sie es wiederverwendet haben.

Dieser letzte Satz ist der Teil, den die Leute übersehen. Ein geleaktes Passwort ist nicht nur ein Problem für die betroffene Website. Angreifer setzen diese geleakten Zugangsdaten in Login-Formularen auf Tausenden anderen Websites ein, in der Hoffnung, dass Sie dasselbe Passwort wiederverwendet haben. Diese Anleitung zeigt Ihnen, wie Sie sicher prüfen, warum die sichere Methode tatsächlich sicher ist und was genau zu tun ist, wenn Sie ein schlechtes Ergebnis erhalten.

Warum ein geleaktes Passwort gefährlicher ist, als es klingt#

Wenn ein Unternehmen einen Datenleak erleidet, umfassen die gestohlenen Daten oft E-Mail-Adressen und Passwörter. Diese Listen werden gehandelt, verkauft und schließlich öffentlich zugänglich gemacht. Sobald Ihr Passwort auf einer dieser Listen steht, ist es kein Geheimnis mehr.

Der eigentliche Schaden entsteht durch Credential Stuffing. Angreifer nehmen geleakte E-Mail-Passwort-Kombinationen aus einem Leak und probieren sie automatisch bei Banken, E-Mail-Anbietern, Shopping-Seiten und sozialen Netzwerken aus. Durch Automatisierung können sie Millionen von Kombinationen kostengünstig testen.

Wenn Sie dasselbe Passwort auf der geleakten Seite und für Ihr E-Mail-Konto verwendet haben, kann ein einziger Leak zu einer vollständigen Kontoübernahme führen. Deshalb ist der Gedanke „aber es war nur mein altes Forum-Login“ gefährlich. Passwort-Wiederverwendung macht aus einem kleinen Leak eine persönliche Katastrophe.

Wichtiger Punkt: Die Frage ist nicht nur „wurde dieses spezifische Passwort geleakt.“ Es ist „habe ich dieses Passwort woanders wiederverwendet, das wichtig ist.“ Das Passwort zu überprüfen ist Schritt eins. Die Wiederverwendung zu stoppen ist die eigentliche Lösung.

So prüfen Sie sicher, ob Ihr Passwort geleakt wurde#

Hier ist die Sorge, die viele Menschen davon abhält, überhaupt zu prüfen. Die Eingabe Ihres echten Passworts auf einer beliebigen Website fühlt sich fahrlässig an - und das ist es meistens auch. Die gute Nachricht: Die vertrauenswürdige Methode wurde speziell entwickelt, damit Sie Ihr Passwort niemals preisgeben müssen.

Ein sicherer Leak-Checker verwendet eine Technik namens k-Anonymität. Statt Ihres Passworts wird ein winziger, nicht identifizierbarer Fragment eines Hashs gesendet. Der Dienst kann Ihnen mitteilen, ob Ihr Passwort in einem Leak vorkommt, ohne jemals zu erfahren, wie Ihr Passwort lautet. Im nächsten Abschnitt erklären wir genau, wie das funktioniert, denn das Verständnis ist der Schlüssel zum Vertrauen.

Sie können diesen Check selbst in Sekunden durchführen. Molixas kostenloser Passwort-Leak-Checker führt das Hashing in Ihrem Browser durch und überträgt nur die kurze Präfix - Ihr Passwort verlässt Ihr Gerät niemals in lesbarer Form.

Was Sie eigentlich prüfen#

Es gibt zwei verwandte, aber unterschiedliche Checks, die oft verwechselt werden:

  • Passwort-Leak-Check: Ist diese genaue Passwortzeichenfolge in einem bekannten Leak-Korpus vorhanden? Dies ist der "pwned passwords"-Check und erfordert keine E-Mail-Adresse.
  • E-Mail- oder Account-Leak-Check: Ist ein mit meiner E-Mail-Adresse verknüpftes Konto in einem bestimmten Leak (wie LinkedIn oder Adobe) aufgetaucht? Dies zeigt, welche Dienste Ihre Daten offengelegt haben.

Diese Anleitung konzentriert sich auf den Passwort-Check, da Sie ihn durchführen können, ohne persönliche Daten preiszugeben, und er direkt beantwortet: "Ist dieses Passwort sicher weiterzuverwenden?" Wenn Sie wissen möchten, welche Websites Ihre Daten geleakt haben, ergänzt ein E-Mail-basierter Leak-Check dies.

Was ist K-Anonymität und warum ist sie sicher?#

K-Anonymität ist das Datenschutzmodell, das einen Passwort-Leak-Check vertrauenswürdig macht. Vereinfacht gesagt, können Sie damit fragen: "Ist mein Passwort in der Leak-Liste?", indem es in einer Menge anderer Möglichkeiten versteckt wird, sodass der antwortende Server nicht erkennen kann, welches Ihnen gehört.

Hier ist der Mechanismus Schritt für Schritt, basierend auf dem gleichen Ansatz, der durch Troy Hunts Pwned Passwords-Dienst bekannt wurde und von den meisten seriösen Prüfern verwendet wird:

  1. Ihr Passwort wird lokal mit SHA-1 gehasht, was einen 40-stelligen hexadezimalen Fingerabdruck ergibt. Hashing ist eine Einwegfunktion, der Hash kann nicht in Ihr Passwort zurückverwandelt werden.
  2. Nur die ersten fünf Zeichen dieses Hashs (das Präfix) werden an den Server gesendet. Fünf Hex-Zeichen entsprechen etwa einer von einer Million möglichen Gruppen.
  3. Der Server gibt jeden geleakten Hash zurück, der dieses Fünf-Zeichen-Präfix teilt, oft mehrere hundert, ohne zu wissen, welcher (falls überhaupt) Ihnen gehört.
  4. Ihr Browser vergleicht den vollständigen Hash mit dieser zurückgegebenen Liste lokal. Der Abgleich erfolgt auf Ihrem Gerät, nicht auf dem Server.

Der Server sieht nur fünf Zeichen eines SHA-1-Hashs. Diese werden von Hunderten nicht zusammenhängenden Passwörtern geteilt, sodass sie nichts identifizieren. Ihr vollständiges Passwort und der vollständige Hash verlassen niemals Ihren Rechner. Das ist der entscheidende Punkt: Sie erhalten eine definitive Antwort, während praktisch keine Informationen preisgegeben werden.

Was gesendet wirdWas der Server erfährtRisiko für Sie
Ihr Klartext-PasswortAllesTun Sie das niemals
Vollständiger SHA-1-HashDen genauen Hash (bei schwachen Passwörtern über Lookup-Tabellen umkehrbar)Vermeiden
Erste 5 Hash-Zeichen (K-Anonymität)Eine von ~1 Million Präfix-Gruppen, geteilt von vielen PasswörternVernachlässigbar

Wenn also ein Prüfer verspricht: "Ihr Passwort verlässt niemals Ihr Gerät", dann ist K-Anonymität der Grund, warum diese Behauptung tatsächlich wahr sein kann. Ein Tool, das Sie auffordert, Ihr Passwort einzufügen und es vollständig übermittelt, verwendet dieses Modell nicht, und Sie sollten ihm nicht vertrauen.

So lesen Sie Ihr Leak-Check-Ergebnis#

Sie haben den Check durchgeführt. Was bedeutet die Zahl nun? Leak-Checker zeigen in der Regel an, wie oft Ihr Passwort in bekannten Datenlecks aufgetaucht ist. Die Anzahl ist wichtiger, als die meisten denken.

  • 0 Vorkommen: Diese spezifische Passwortzeichenfolge ist nicht im bekannten Leak-Bestand. Das ist gut, aber keine Garantie für Stärke. Ein schwaches Passwort wie Summer2024! kann heute fehlen und trotzdem trivial erratbar sein.
  • Einige Vorkommen: Das Passwort ist durchgesickert und im Umlauf. Hören Sie auf, es zu verwenden.
  • Tausende oder Millionen Vorkommen: Dies ist ein häufiges, stark wiederverwendetes Passwort (denken Sie an password1 oder qwerty123). Es steht in jedem Wörterbuch für Erstratversuche von Angreifern. Ändern Sie es sofort, überall.

Eine hohe Anzahl bedeutet nicht, wie schlimm Ihr spezifischer Account kompromittiert wurde. Sie misst, wie verbreitet das Passwort über alle Leaks hinweg ist. Je verbreiteter, desto schneller wird ein automatisierter Angriff es versuchen. In jedem Fall bedeutet jede Zahl über Null, dass dieses Passwort kompromittiert ist und ausgemustert werden sollte.

Warnung: „Nicht gefunden“ bedeutet nicht „stark“. Ein Leak-Check beantwortet nur eine Frage: Ist dieses Passwort bereits öffentlich? Ein langes, einzigartiges Passwort, das nie durchgesickert ist, ist das Ziel. Kombinieren Sie den Leak-Check mit einem Stärke-Check, um beide Aspekte abzudecken.

Was tun, wenn Ihr Passwort geleakt wurde#

Herauszufinden, dass ein Passwort geleakt wurde, ist der einfache Teil. Die Wiederherstellung ist das, woran die meisten Anleitungen scheitern. Hier ist ein konkreter Plan, den Sie heute umsetzen können, in der richtigen Reihenfolge.

Schritt 1: Ändern Sie das geleakte Passwort auf jeder Website, die es verwendet hat#

Beginnen Sie mit den sensibelsten Konten: primäre E-Mail, Bankkonten, alles mit Zahlungsinformationen. Ihre E-Mail ist der Hauptschlüssel, da die meisten Passwortzurücksetzungen darüber laufen. Sichern Sie diese zuerst ab.

Arbeiten Sie sich dann durch alle anderen Websites, auf denen Sie genau dieses Passwort wiederverwendet haben. Wenn Sie sich nicht an alle erinnern können, zeigt genau diese Unsicherheit, warum Wiederverwendung gefährlich ist. Gehen Sie vom Schlimmsten aus und ändern Sie großflächig.

Schritt 2: Machen Sie jedes neue Passwort einzigartig und stark#

Tauschen Sie nicht ein geleaktes Passwort gegen ein anderes wiederverwendetes aus. Jedes Konto benötigt sein eigenes, eindeutiges Passwort. Der schnellste Weg, dies zu tun, ohne sie von Hand zu erfinden, ist ein Generator, der lange, zufällige Zeichenfolgen erstellt.

Verwenden Sie einen starken Zufallspasswort-Generator, um für jedes Konto ein eindeutiges Passwort zu erstellen. Setzen Sie auf Länge statt auf komplexe Tricks: Ein langes, zufälliges Passwort oder eine mehrteilige Passphrase schlägt P@ssw0rd! jedes Mal. Ein Passwort-Manager merkt sich diese dann, sodass Sie es nicht müssen.

Schritt 3: Aktivieren Sie die Zwei-Faktor-Authentifizierung#

Die Zwei-Faktor-Authentifizierung (2FA) ist Ihr Sicherheitsnetz. Selbst wenn ein zukünftiger Leak ein neues Passwort preisgibt, benötigt ein Angreifer dennoch den zweiten Faktor (einen App-Code oder Hardware-Schlüssel), um Zugang zu erhalten. Aktivieren Sie sie überall, wo sie angeboten wird, beginnend mit E-Mail und Finanzkonten.

Bevorzugen Sie eine Authenticator-App oder einen Hardware-Sicherheitsschlüssel gegenüber SMS-Codes, wenn Sie die Wahl haben. SMS kann durch SIM-Swapping-Angriffe abgefangen werden, während app-basierte und hardware-basierte Faktoren aus der Ferne weitaus schwerer zu stehlen sind.

Schritt 4: Überprüfen Sie, ob Ihre neuen Passwörter tatsächlich sauber sind#

Nachdem Sie Ersatz generiert haben, prüfen Sie die neuen Passwörter mit dem Leak-Checker, um zu bestätigen, dass sie null Vorkommen aufweisen. Ein frisch generiertes Zufallspasswort sollte immer sauber sein. Diese schnelle Überprüfung schließt den Kreis und beweist, dass Sie nicht versehentlich etwas bereits im Umlauf befindliches ausgewählt haben.

Schritt 5: Überprüfen Sie Ihre E-Mail-Adresse in Leak-Datenbanken#

Suchen Sie abschließend Ihre E-Mail-Adresse in einem seriösen Leak-Benachrichtigungsdienst, um zu sehen, welche Websites Ihre Daten in der Vergangenheit offengelegt haben. So erfahren Sie, worauf Sie sich konzentrieren müssen, entdecken alte Konten, die Sie vergessen haben, und können sich für Benachrichtigungen anmelden, damit Sie frühzeitig von zukünftigen Leaks erfahren, anstatt Monate später.

Wie oft sollten Sie prüfen?#

Sie müssen nicht täglich prüfen. Ein sinnvoller Rhythmus ist, in drei Situationen einen Check durchzuführen:

  • Nach jeder Sicherheitslücke bei einem Dienst, den Sie nutzen. Wenn die Nachricht meldet, dass ein Unternehmen gehackt wurde und Sie dort ein Konto haben, prüfen Sie das Passwort und ändern Sie es.
  • Beim Reaktivieren alter Konten. Bevor Sie sich wieder bei einem ruhenden Konto anmelden, überprüfen Sie, ob das Passwort nicht in einer geleakten Liste auftaucht.
  • Als vierteljährliche Hygiene für Ihre wichtigsten Passwörter (E-Mail, Bank, primäre Identitätsanbieter).

Die tiefgreifendere Lösung ist struktureller Natur. Wenn jedes Konto bereits ein einzigartiges, generiertes Passwort und 2FA aktiviert hat, kann ein einzelner Datenleck nur einen Login betreffen. Diese Eindämmung ist weit wertvoller als häufige manuelle Überprüfungen.

Häufige Mythen, die Menschen angreifbar machen#

Einige hartnäckige Überzeugungen halten Menschen selbst nach dem Lernen über Datenlecks gefährdet. Diese aufzuklären ist wichtig.

"Ich habe ein paar Zeichen geändert, also ist mein Passwort anders." Angreifer kennen die üblichen Variationen. Das Hinzufügen einer 1 oder eines ! zu einem durchgesickerten Basispasswort gehört zu den ersten Dingen, die Credential-Stuffing-Tools ausprobieren. Ein modifiziertes durchgesickertes Passwort bleibt ein durchgesickertes Passwort.

"Mein Passwort ist zu obskur, um in einem Datenleck zu sein." Obskurität ist nicht das Problem. Wenn Sie es auf einer Website verwendet haben, die gehackt wurde, ist es im Datendump, egal wie clever es sich anfühlte. Der Angriff hat die gesamte Datenbank erbeutet, nicht nur die offensichtlichen Passwörter.

"Die Überprüfung meines Passworts irgendwo wird es preisgeben." Bei einem k-Anonymitäts-Checker ist genau diese Angst das, was das Design beseitigt. Die gesamte Architektur existiert, damit Sie überprüfen können, ohne etwas preiszugeben. Die Gefahr liegt in Tools, die es nicht verwenden, nicht im Akt der Überprüfung selbst.

Fazit: Prüfen, dann das Leck stoppen#

Zu lernen, wie man prüft, ob das eigene Passwort durchgesickert ist, dauert nur Sekunden, und dank k-Anonymität ist dies völlig sicher möglich, da nur ein winziger Hash-Fragment gesendet wird und das eigentliche Passwort auf dem eigenen Gerät bleibt. Führen Sie die Prüfung durch, lesen Sie die Anzahl der Vorkommen ab und behandeln Sie jedes Ergebnis ungleich Null als ein Passwort, das sofort ausgemustert werden muss.

Die Prüfung ist der Alarm, nicht die Lösung. Die Lösung sind einzigartige, generierte Passwörter für jedes Konto plus Zwei-Faktor-Authentifizierung, sodass der nächste Datenleck (und es wird einen nächsten geben) Ihnen nur einen einzigen Login kosten kann, nicht Ihr gesamtes digitales Leben. Prüfen Sie Ihre aktuellen Passwörter jetzt mit dem kostenlosen Passwort-Leak-Checker und ersetzen Sie alles, was als durchgesickert zurückkommt.

Häufig gestellte Fragen#

Wie kann ich prüfen, ob mein Passwort geleakt wurde, ohne es preiszugeben? Verwenden Sie einen Breach-Checker, der k-Anonymität implementiert. Er hasht Ihr Passwort lokal im Browser mit SHA-1 und sendet nur die ersten fünf Zeichen dieses Hashs an den Server, der alle geleakten Hashes mit diesem Präfix zurückgibt. Ihr Gerät führt den endgültigen Vergleich lokal durch, sodass Ihr vollständiges Passwort und der vollständige Hash Ihren Rechner nie verlassen.

Ist es sicher, mein Passwort in einen Online-Breach-Checker einzugeben? Nur, wenn das Tool k-Anonymität verwendet und das Hashing lokal erfolgt. In diesem Fall wird Ihr echtes Passwort nie übertragen. Geben Sie Ihr Passwort niemals in einen Checker ein, der das gesamte Passwort an einen Server sendet, da Sie Ihre Anmeldedaten einem unbekannten Dritten ausliefern würden. Im Zweifelsfall verwenden Sie ein Tool, das sein k-Anonymitätsmodell offen erklärt.

Was bedeutet es, wenn mein Passwort tausende Male in Datenlecks auftaucht? Die Anzahl gibt an, wie verbreitet und wiederverwendet das Passwort in allen bekannten Leaks ist, nicht wie stark ein bestimmtes Konto kompromittiert wurde. Eine hohe Anzahl bedeutet, dass das Passwort in den Wörterbüchern von Angreifern für erste Angriffsversuche enthalten ist und bei automatisierten Attacken sofort ausprobiert wird. Jede Anzahl größer null, ob hoch oder niedrig, bedeutet, dass Sie dieses Passwort nicht mehr verwenden sollten.

Mein Passwort-Check war sauber, bin ich also sicher? Ein sauberes Ergebnis bedeutet nur, dass dieses genaue Passwort nicht im bekannten Leak-Bestand ist. Es misst nicht die Stärke, daher kann ein kurzes oder leicht zu erratendes Passwort trotzdem schwach sein, selbst wenn es noch nicht geleakt wurde. Kombinieren Sie den Breach-Check mit einer Stärkebewertung und einem einzigartigen, langen, zufällig generierten Passwort für echte Sicherheit.

Sollte ich meine E-Mail oder mein Passwort auf Leaks prüfen? Beides, da sie unterschiedliche Fragen beantworten. Ein Passwort-Check sagt Ihnen, ob eine bestimmte Passwortzeichenfolge kompromittiert ist, und kann ohne Preisgabe persönlicher Daten durchgeführt werden. Ein E-Mail-Check zeigt Ihnen, welche spezifischen Websites Ihre Konten offengelegt haben, was hilft, vergessene Konten zu finden und sich für zukünftige Leak-Benachrichtigungen anzumelden.

Wie erstelle ich ein Passwort, das nicht in einem Leak auftaucht? Generieren Sie ein langes, vollständig zufälliges Passwort oder eine mehrwortige Passphrase, die Sie noch nie verwendet haben, und nutzen Sie es nur für ein einziges Konto. Ein starker Zufallspasswort-Generator erzeugt Anmeldedaten, die statistisch nie mit geleakten Listen kollidieren. Die Kombination mit Zwei-Faktor-Authentifizierung schützt Sie selbst dann, wenn diese Website später kompromittiert wird.

passwordsdata-breachpassword-checkerprivacy

More from Molixa

Try Molixa Tools

50+ free AI tools for content creation, SEO, coding, and more. No signup, no watermark.

Explore all tools