Google hat soeben mit Password Checkup eine Erweiterung für die Passwortüberprüfung in seinem Browser Chrome veröffentlicht. Immer, wenn man sich auf einer Webseite anmeldet, prüft die Erweiterung, ob die eingegebene Kombination von Benutzername und Passwort in geleakten, gestohlenen Zugangsdaten aufgeführt ist.
Abgeglichen wird die Eingabe mit einer internen Datenbank von mehr als vier Milliarden unsicheren Anmeldedaten, die die Sicherheitsexperten von Googles aus Datenleaks der letzten Jahre zusammengetragen haben.
Die Prüfung der Anmeldedaten
Die Überprüfung wird sowohl bei manueller Eingabe als auch bei Anmeldedaten, die im Passwortmanager des Chrome-Browsers gespeichert sind, durchgeführt. So ähnlich erfolgt ja auch schon länger eine ähnliche Überprüfung bei Google-Konten, wobei wurden schon Millionen von Passwörter zurückgesetzt wurden, wenn Anmeldedaten aus neuen Datenleaks bekannt wurden, die Nutzer auch Anmeldedaten zugleich bei Google verwendet hatten.
Wird eine Übereinstimmung gefunden, dann gibt die Erweiterung eine nicht zu übersehende, knallrote Warnung aus und fordert den Nutzer zur Änderung seiner Anmeldedaten auf.
Google selbst nennt sein Password Checkup ein frühes Experiment, das aber von Beginn an umsetzbare Warnungen liefern und nicht etwa nur informieren soll.
Keine allgemeinen Passwortwarnungen und Ratschläge
Dabei lautet die konkrete Handlungsempfehlung bei kompromittierten Anmeldedaten immer: „Rücksetzung und Änderung des Passworts“. Um dabei Gewöhnungseffekte zu vermeiden, erfolge eine Warnung nur dann, wenn feststeht, dass die Anmeldedaten für ein Konto Cyberkriminellen in die Hände gefallen sind. Warnungen beispielsweise wegen zu schwacher Passwörter wie „123456“ gibt das Tool nicht aus.
Zur Absicherung des Datenaustauschs während der nutzt Google eine Kombination von Anonymisierung und Verschlüsselung mit einer als „Blinding“ bekannten Technik. In Googles Security Blog wird der technischen Hintergrund näher erklärt. Danach wurde die Erweiterung zusammen mit Verschlüsselungsexperten der Stanford University entwickelt. Zu den Vorgaben gehörte, dass Google selbst zu keiner Zeit Kenntnis des Benutzernamens oder des Passworts erhält.
Die erste Version von Password Checkup wollen die Entwickler in den nächsten Monaten weiter verbessern. Sie überlegen sogar, das Interface dieses Dienstes künftig als offene Anwendungsschnittstelle bereit zu stellen.