Datenleck-Analyse

Passwort-Sicherheitscheck

Prüfen Sie anonym, ob Ihr Passwort in einem bekannten Datenleck auftaucht. Das Passwort verlässt nie Ihren Browser.

Ihr Passwort wird lokal in Ihrem Browser gehasht. Nur ein kurzes, anonymes Fragment wird übertragen – weder IFCSD noch Have I Been Pwned erfahren, welches Passwort Sie eingegeben haben.

Passwort prüfen

Geben Sie ein Passwort ein, das Sie aktuell verwenden oder verwendet haben – z. B. ein älteres Standardpasswort.

Was bedeutet ein Treffer?

Ihr Passwort wurde in einem geleakten Datensatz gefunden und ist in Hackerdatenbanken bekannt. Angreifer nutzen solche Listen für Credential-Stuffing-Angriffe – automatisierte Massenversuche gegen E-Mail-, Bank- und Unternehmenskonten.

Selbst wenn Sie bei dem ursprünglich betroffenen Dienst nie registriert waren: Wer dasselbe Passwort woanders nutzt, ist gefährdet.

Was tun, wenn gefunden?

  • Sofort ändern – bei allen Diensten, wo dieses Passwort verwendet wird
  • Einzigartig – jeder Dienst braucht ein eigenes Passwort
  • Passwort-Manager verwenden: Bitwarden (kostenlos), 1Password, KeePass
  • Zwei-Faktor-Authentifizierung (2FA) überall aktivieren, wo möglich
  • Passphrase statt Passwort: z. B. „Blauer-Elefant-Kaffee-2024!" ist besser als „P@ssw0rd"

Wie funktioniert die Prüfung?

Ihr Browser berechnet lokal einen SHA-1-Hash des Passworts und schickt nur die ersten 5 von 40 Zeichen an Have I Been Pwned. HIBP liefert alle Hashes zurück, die mit diesen 5 Zeichen beginnen – der eigentliche Abgleich passiert lokal auf Ihrem Gerät.

Dieses Verfahren heißt k-Anonymity. Es garantiert mathematisch, dass weder IFCSD noch HIBP je erfahren, welches Passwort geprüft wurde.

Passwort-Sicherheit systematisch angehen

Ein einzelnes Passwort zu prüfen reicht nicht. Im BSI-CyberRisikoCheck analysieren wir die gesamte Passwort-Richtlinie, Zugangsverwaltung und Multi-Faktor-Strategie Ihres Unternehmens – kostenlos.

Kostenloser CyberRisikoCheck Beratung anfragen