Die zahlreichen Datenlecks und Hacks der vergangenen Jahre haben dazu geführt, dass mittlerweile eine Unzahl an Login-Informationen im Netz kursiert. Erst vor kurzem sorgte eine solche Sammlung für Aufregung: Mehr als 2,2 Milliarden Kontozugänge waren darin fein säuberlich aufgelistet – zu einem guten Teil samt den zugehörigen Passwörtern. Selbst wenn man davon ausgeht, dass ein guter Teil dieser Informationen mittlerweile veraltet ist, so bleibt doch die Erkenntnis, dass es in der Masse der Datenlecks oft schwer ist, den Überblick zu bewahren, und schon einmal darauf vergessen werden kann, das zugehörige Passwort zu ändern. Dies will nun Google ändern.

Abgleich

Unter dem Namen "Password Checkup" hat Google eine neue Erweiterung für seinen Browser Chrome vorgestellt. Diese gleicht die eigenen Login-Informationen mit einer riesigen Datenbank aus bekannt gehackten Kontozugängen ab. Der Browser warnt dann infolge, wenn man sich mit kompromittierten Nutzerdaten einloggen will, und rät zum umgehenden Wechsel des Passworts.

Der Softwarehersteller betont dabei, dass die Erweiterung so gestaltet ist, dass man selbst keinerlei private Daten der Nutzer erhält. Um dies sicherzustellen, habe man mit Kryptografieexperten der Stanford University zusammengearbeitet. Der Service nutzt für die notwendige Datenübertragung mehrere Schritte zur Anonymisierung und Verschlüsselung, der finale Check erfolgt zudem lokal. Technische Details nennt Google in einem separaten Blog-Posting. Gegenüber Arstechnica betont Google zudem, dass man das dahinterstehende Protokoll als Standard vorschlagen wolle.

Umfang

Die von Google im Hintergrund genutzte Datenbank beinhaltet mehr als vier Milliarden Einträge und setzt sich aus zahlreichen einzelnen Passwort-Sammlungen zusammen, die das Unternehmen in verschiedensten Ecken des Internets aufgespürt hat. In Summe gehe es dabei um mehrere Terabyte an Daten, wie Google betont. Dies erklärt auch, warum man die Überprüfung nicht einfach komplett lokal vornehmen kann. Die Datenbank soll laufend aktualisiert werden.

Google warnt dabei übrigens wirklich nur, wenn sowohl Login als auch Passwort mit den Informationen in der Datenbank übereinstimmen. Mit bekannten Hacks, in deren Folge die Nutzer ohnehin schon ihr Passwort geändert haben, will man die Chrome-User also nicht unnötig behelligen. Einen ähnlichen Service bietet auch "Have I been pwned" an, wobei dort manuell nach wahlweise Mail-Adressen oder Passwörtern gesucht werden muss.

Ausprobieren

Die Erweiterung steht kostenlos über den Chrome Web Store zum Download. Google betont dabei, dass es sich dabei lediglich um eine erste Version handle, und man vorhabe die Funktionalität in den kommenden Monaten zu verfeinern. Ob all dies einmal fixer Bestandteil von Chrome werden soll, lässt das Unternehmen offen. (apo, 6.2.2019)