Yahoo
3 Mrd. Accounts
Der größte bekannte Leak der Geschichte. Erst Jahre später öffentlich gemacht, kompletter Datenschatz von Mailadresse bis Passwort-Hash.
Schnell-Check · 1 Eingabe · keine Speicherung Ist dein Passwort
Ist dein Passwort
in einem Datenleck aufgetaucht?
Bei Sicherheitslücken landen ständig Millionen Passwörter in öffentlichen Datenbanken. Wenn dein Passwort dabei war, kursiert es heute in Listen die Angreifer durchprobieren. Hier prüfst du in zehn Sekunden ob das auf eines deiner Passwörter zutrifft.
SHA-1 lokal k-Anonymity DSGVO-konform
850 Mio.
Passwörter in der HIBP-Datenbank
1.000+
bekannte Datenleck-Vorfälle
seit 2013
HIBP als Industrie-Standard
0 Bytes
deines Passworts gehen an mich
bevor du klickst
Dein Passwort verlässt deinen Browser nicht.
Dein Passwort wird lokal per SHA-1 in einen 40-Zeichen-Hash umgewandelt. Davon gehen nur die ersten fünf Zeichen an Have I Been Pwned, dem Standard-Dienst für Leak-Daten. Der Vergleich passiert im Browser, der Dienst kennt dein konkretes Passwort nie. Kein Server bei mir, kein Logging, kein Tracking. Dieses Verfahren heißt „k-Anonymity" und wird von Firefox, 1Password und vielen Sicherheitsprodukten eingesetzt.
aus der Praxis
Vier reale Leaks, die du kennen solltest.
Datenlecks sind kein Theoriethema. Diese vier Vorfälle haben Hunderte Millionen Accounts betroffen, viele Passwörter daraus stehen heute öffentlich im Netz.
700 Mio. Datensätze
Per Scraping gesammelt, im Dark Web verkauft. Enthält Profile-Daten, die für maßgeschneidertes Phishing genutzt werden.
Dropbox
68 Mio. Logins
Mail-Adressen plus gehashte Passwörter standen jahrelang offen. Wer damals Dropbox nutzte und sein Passwort nie änderte, ist heute noch betroffen.
T-Mobile US
76 Mio. Kunden
Name, Geburtsdatum, Sozialversicherungsnummer. Zeigt: nicht nur Passwörter leaken, sondern oft das ganze Identitäts-Paket.
wenn dein Passwort betroffen ist
Drei Schritte, die wirklich helfen.
Sofort ändern
Bei allen Diensten wo du dieses Passwort verwendest. Wenn das überall dasselbe war, ist genau das das eigentliche Risiko: ein Leak öffnet zehn Accounts.
Passwort-Manager nutzen
Damit ist jedes Passwort einzigartig und automatisch lang genug. Passwort-Safe einrichten wenn du Hilfe beim Start brauchst.
Zwei-Faktor aktivieren
Bei Mail, Bank, Apple/Google-Account, Microsoft, sozialen Netzwerken. Selbst wenn das Passwort bekannt ist, kommt niemand ohne den zweiten Faktor rein.
wenn du Hilfe brauchst
Hier ist nicht der Schluss.
Bei vielen meiner Kunden findet sich beim ersten Check sofort etwas. Dann gehört dazu nicht nur „neues Passwort wählen", sondern ein System, das das Problem dauerhaft löst. Du brauchst dir nicht alle Passwörter selbst merken zu müssen, das übernimmt ein guter Manager.
FAQ
Häufige Fragen
Speichert ihr mein Passwort?
Nein. Das Passwort verlässt deinen Browser nicht im Klartext. Es wird lokal in einen Hash umgewandelt, und nur die ersten fünf Hash-Zeichen gehen an Have I Been Pwned. Kein Server bei mir, kein Logging, kein Cookie, kein Tracking.
Was ist Have I Been Pwned?
Have I Been Pwned (haveibeenpwned.com) ist seit 2013 die Referenz für Datenleck-Daten. Betrieben von Sicherheitsforscher Troy Hunt, eingebunden in Firefox, 1Password und viele Sicherheitsprodukte weltweit. Die Passwort-Datenbank umfasst über 850 Millionen einzigartige Hashes aus bekannten Vorfällen.
Was wenn mein Passwort betroffen ist?
Keine Panik. Das heißt nicht dass dein Account gehackt wurde, sondern dass dieses Passwort irgendwo im Umlauf ist. Kritisch wird es vor allem dann wenn du es an mehreren Stellen verwendest. Daher: bei den betroffenen Diensten ändern und am besten einen Passwort-Manager einrichten, damit jedes Passwort einzigartig wird.
Kann ich auch meine E-Mail-Adresse prüfen?
Direkt auf haveibeenpwned.com gibt es eine kostenlose Suche für E-Mail-Adressen. Die Seite zeigt dir, welche bekannten Lecks deine Adresse betroffen haben. Wichtig zu wissen: Anders als der Passwort-Check hier überträgt die E-Mail-Suche deine Adresse vollständig an den Betreiber, eine anonyme Abfrage gibt es für E-Mails nicht. Der Dienst ist seriös und dokumentiert seinen Datenschutz, triff die Entscheidung aber bewusst.
Wenn mein Passwort nicht gefunden wird, ist es sicher?
Nicht automatisch. „Nicht in der HIBP-Datenbank" bedeutet nur dass es noch nicht in bekannten Lecks aufgetaucht ist. Wenn es kurz, einfach oder vorhersehbar ist (Geburtsdatum, Name, „Passwort123") bleibt es trotzdem schwach. Ein guter Passwort-Manager generiert Passwörter, die nicht erraten und nicht durch Brute-Force geknackt werden können.
#kontakt
Unsicher was zu tun ist?
Schreib mir kurz was bei dir betroffen ist. Wir schauen gemeinsam was wirklich kritisch ist und richten dir bei Bedarf einen Passwort-Manager ein, der das Problem dauerhaft löst.