Passwörter in der Browser-Datenbank
... sind immer noch keine gute Idee. Nicht nur lassen sich die Datenbanken der Browser leichter auslesen als die anderer Speicher, es gibt auch Malware, die z.B. Autofill-Einträge abgreifen.
Troy Hunt berichtet über ein signifikantes Content-"Upgrade" (so grob 20 Mio. neuer Zugangsdatensätze) für seine Datenbank "Have I Been Pwned". Es könnte interessant sein zu prüfen, ob man selbst einmal Opfer eines Datenabflusses war. Teilweise entstammen diese Leaks wohl aus geknackten, browsereigenen Passwortmanagern.
Here's what I found:
- 319 files totalling 104GB
- 70,840,771 unique email addresses
- 427,308 individual HIBP subscribers impacted
- 65.03% of addresses already in HIBP (based on a 1k random sample set)
That last number was the real kicker; when a third of the email addresses have never been seen before, that's statistically significant.
Eine andere, traurige Erkenntnis aus dem Datensatz: Es gibt nach wie vor (viele) Menschen, die das immergleiche Passwort bei verschiedenen Diensten nutzen und auch viele Menschen, die sich (unwissentlich) ein Passwort teilen, weil sie beliebte Tiernamen, Geburtstage oder andere nur mäßig schlecht erratbare Strings nutzen.
Na dann sei an dieser Stelle noch einmal höflich darum gebeten: Nutzt Passwortmanager, die nicht in der Cloud speichern, komplexe Passwörter und vergebt kein Passwort mehrfach. Siehe auch.