Have I been pwned?: Offline Check

Am Passwort-Prüfdienst »Have I been pwned?« habe ich kein gutes Haar gelassen. Meine Ansicht lautet: Man füttert diese Online-Dienste nicht mit Passwörtern. Doch es gibt noch einen anderen Weg, um zu prüfen, ob euer Passwort in der Vergangenheit kompromittiert wurde. Diesen beschreibt savant:

Wer seine Passwörter nicht bei »Have I been pwned?« in die Suchmaske eingeben will, da er befürchtet, dass diese in falsche Hände geraten könnten, der kann die Datenbank auch lokal durchsuchen.

Dafür muss man sich zunächst die SHA1-Hashes aller bisher kompromittierten Passwörter mit dem haveibeenpwned-downloader herunterladen. Wenn man nun wissen will, ob das eigene Passwort in gehashter Form in der Liste vorkommt und somit abhandengekommen ist, muss man zunächst den SHA1-Hash des gesuchten Passwortes generieren. Für das Passwort „123456“ funktioniert das Folgendermaßen:

echo -n '123456' | sha1sum | awk '{print toupper($0)}'
7C4A8D09CA3762AF61E59520943DC26494F8941B  -

Die Ausgabe in der unteren Zeile ist hierbei der SHA1-Hash unseres gesuchten Passwortes. Diesen muss man jetzt in die Zwischenablage kopieren, um ihn anschließend in der heruntergeladenen Liste mit SHA1-Hashes zu suchen. Das sieht dann so aus:

cat list.txt | grep 7C4A8D09CA3762AF61E59520943DC26494F8941B

Sollte euch das Terminal jetzt den gesuchten SHA1-Hash zurückgeben, dann wisst ihr, dass euer Passwort abhandengekommen ist und ihr dieses besser ändern solltet.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡