c't 5/2019
S. 42
Know-how
Digitale Identität: Passwörter lokal checken
Aufmacherbild

Passwortsuche mit Turbo

25 Gigabyte Passwortlisten von HaveIBeenPwned schnell lokal durchsuchen

Auf haveibeenpwned.com kann man eine sortierte Liste mit Hashes von Passwörtern aus Hacks und Leaks herunterladen. Entpackt ist die knapp 25 Gigabyte groß. Mit in Python implementierter binärer Suche ist sie trotz ihrer Größe in wenigen Millisekunden durchsucht.

Die Webseite Haveibeenpwned.com sammelt seit Jahren Passwörter aus Leaks und Hacks. Inzwischen sind 551.509.767 Klartext-Passwörter bei dem Dienst aufgelaufen, die Nutzer auf keinen Fall mehr benutzen sollten. Um zu prüfen, ob das eigene Passwort dabei ist, bietet der Dienst einen Webservice an. Die Webseite verschickt zwar nur auf fünf Zeichen gekürzte Hashes übers Netz, aber um sicherzugehen, dass wirklich kein Passwort im Klartext verschickt wird, müsste man vor jeder Nutzung den JavaScript-Code der Seite prüfen. Bei unserem Python-Skript können Sie sich das sparen: Es ist lokal auf Ihrer Platte gespeichert und dort vor unerwarteten Änderungen geschützt.

Es arbeitet mit einer entpackt 25 Gigabyte großen Datei mit SHA-1-Hashes der geleakten Passwörter; Sie können die Datei als 10 Gigabyte großes 7Zip-Archiv bei haveibeenbwned.com (siehe ct.de/y6rc) herunterladen.

Kommentare lesen (21 Beiträge)