Passwort-Leak-Prüfer
Ein Leak-Prüfer auf Basis der k-Anonymitäts-API von Have I Been Pwned — dasselbe Protokoll hinter 1Password Watchtower, Bitwarden Reports, Firefox Monitor und Chromes eingebauter Warnung vor kompromittierten Passwörtern. Ihr Passwort wird lokal gehasht, und nur ein 5-Zeichen-Präfix dieses Hashes wird an HIBP gesendet. Der Server liefert ~500 Kandidaten-Hashes zurück, die dieses Präfix teilen, und Ihr Browser macht den Abgleich — Ihr tatsächliches Passwort und der volle Hash verlassen das Gerät also nie. HIBP indexiert 850M+ einzigartige kompromittierte Passwörter über Leaks wie LinkedIn, Adobe, Collection #1 und Hunderte mehr.
Anleitung
Feld anklicken und tippen oder einfügen. Die Prüfung läuft beim Absenden, nicht bei jedem Tastendruck.
Der Browser hasht das Passwort lokal und sendet nur die ersten 5 Zeichen des Hashes an HIBP, das ~500 Kandidaten zurückgibt, gegen die abgeglichen wird.
Entweder „nicht gefunden" oder „N-mal gesehen". Falls gefunden, das Passwort überall ändern, wo es wiederverwendet wird.
Nutzen Sie unseren Passwort- oder Passphrasen-Generator für einen einzigartigen, starken Ersatz.
Schlagen Sie Ihr Passwort in der Have-I-Been-Pwned-Leak-Datenbank über das k-Anonymitäts-Protokoll nach
Funktionen
Häufige Fragen
Was genau wird an HIBP gesendet?
Nur ein 5-Zeichen-Präfix des Hashes Ihres Passworts — sonst nichts. Dieses Präfix kollidiert mit etwa 500 verschiedenen Passwörtern, sodass HIBP buchstäblich nicht erkennen kann, welches Sie geprüft haben. Keine Cookies, kein Konto.
Was ist k-Anonymität?
Ein Datenschutz-Modell, bei dem Ihre Anfrage mit k anderen ununterscheidbaren Anfragen vermischt wird. Das Senden eines 5-Zeichen-Hash-Präfixes bedeutet, dass Ihre Anfrage eine von ~500 ist — der Server kann nicht eindeutig identifizieren, wonach Sie gesucht haben.
Warum eine bekanntlich gebrochene Hash-Funktion?
Der relevante Angriff gegen SHA-1 ist Kollisionssuche (Fälschen zweier verschiedener Dateien mit demselben Hash). Das k-Anonymitäts-Protokoll hängt nicht davon ab — es benötigt nur, dass die Funktion Passwörter gleichmäßig über Präfix-Buckets verteilt, was SHA-1 problemlos leistet. Aus demselben Grund nutzen HIBP, 1Password und Firefox Monitor sie alle weiterhin für genau dieses Nachschlagen.
Woher kommen die Leak-Daten?
Aus Troy Hunts Have-I-Been-Pwned-Projekt (haveibeenpwned.com), dem De-facto-Standard-Leak-Korpus. 850M+ einzigartige kompromittierte Passwörter, aggregiert aus 850+ offengelegten Leaks und kuratierten Listen.
Mein Passwort ist nicht in der Datenbank — ist es stark?
Nicht zwangsläufig. Es bedeutet nur, dass es noch in keinem veröffentlichten Leak aufgetaucht ist. Ein kurzes oder vorhersehbares Passwort lässt sich trotzdem in Sekunden per Brute Force knacken. Lassen Sie es zusätzlich durch den Stärke-Prüfer laufen.
Was soll ich tun, wenn es geleakt ist?
Sofort aufhören, es zu verwenden. Credential-Stuffing-Bots probieren jedes geleakte Passwort gegen jedes Login-Formular, das sie finden — Wiederverwendung ist der Grund, warum Konten übernommen werden. Erzeugen Sie einen einzigartigen Ersatz für jede Seite, wechseln Sie zu einem Passwortmanager (Bitwarden, 1Password, KeePass) und aktivieren Sie 2FA, wo immer möglich.
Warum dieses Tool nutzen, wenn mein Passwortmanager bereits auf Leaks prüft?
Für einmalige Checks — ein Passwort, das Sie in einem Leak-Post gesehen haben, eine Kollegen-Frage nach „ist das sicher?" oder ein Passwort, das Sie noch nicht in einen Manager gelegt haben. Wenn Sie bereits 1Password Watchtower oder Bitwarden Reports für Ihren gesamten Tresor nutzen, brauchen Sie das hier dafür nicht.
Machen wir — und zwar kostenlos! Schreiben Sie uns kurz Ihre Idee. Wenn Sie sie im Detail besprechen möchten, hinterlassen Sie eine E-Mail-Adresse, wir melden uns. Anonym geht auch.
