Ab Dezember 2019 prüfen wir Passwörter, die Nutzer eingeben, mit Hilfe von haveibeenpwned.com. Wenn du eine Fehlermeldung angezeigt bekommst, die dir sagt, dass dein Passwort unsicher ist, bedeutet das, dass das Passwort in einer Datenpanne in der Vergangenheit veröffentlicht wurde. In diesem Fall darfst du das Passwort nicht für dein Passcreator-Konto verwenden.
Troy Hunt, ein bekannter IT-Sicherheits Forscher, hat mit haveibeenpwned eine Datenbank erstellt, die Passwörter aus öffentlichen und/oder bekannten Datenpannen enthält. Wir prüfen prüfen mit Hilfe dieser Datenbank, ob ein Passwort in der Vergangenheit kompromittiert wurde.
Das bedeutet allerdings nicht, dass wir dein Passwort an einen externen Dienst schicken!
Der Mechanismus, den wir benutzten wird von der haveibeenpwned API als "search by range" bezeichnet und nur ein kleiner Teil des SHA1-Hashes des Passworts werden übermittelt. Dadurch kommt die sog. K-Anonymität zum Einsatz. Die Folge ist, dass wir dadurch überprüfen können, ob dein Passwort sicher ist, ohne es zu übermitteln.
Generell solltest du für jedes Nutzerkonto das du hast, sichere und zufällige Passwörter verwenden und für jedes Konto ein anderes Passwort wählen. Wenn dein Passwort unsicher ist, solltest du es überall dort ändern, wo du es verwendet hast und zusätzliche Schritte unternehmen, wie z.B. ein Anti-Viren Programm ausführen.