Hey Leute,

ich würde gerne mal die Sicherheit der von mir verwendeten Passwörter analysieren.
Dabei würde ich gerne überprüfen, ob Variationen meiner Kennwörter in geleakten Passwörtern auftauchen.

Was sind die gängigen Quellen, um an solche Kennwortlisten zu gelangen?

D

Die einfachste Variante ist, Variationen des Kennwortes zu generieren und gegen die API von haveibeenpwned.com zu schicken (nur die ersten 5 chars des sha1 hashes)

Auf die Weise sparst du dir den Download von endlosen Listen.

Vg
Dschump

Mich würde dennoch interessieren, wo man diese Informationen herbekommt.

Wenn du geleakte Datenbanken durchsuchen möchtest, musst du entweder die Leaks einzeln durchgucken oder Jemanden suchen der das für dich übernimmt bzw alles gesammelt hat.
Illegal ist daran im Grunde Nichts, weil es ja wirklich für den eigenen Bedarf verwendet werden kann (z.B. wenn deine Internetseite gehackt wurde oder halt irgendeine Seite wo du dich registriert hast)

Ein paar (auch kostenpflichtige) Seiten die mir da einfallen:

https://snusbase.com/

http://dehashed.com

und halt bekannterweise https://haveibeenpwned.com/

Viele Antivirenprogramme und Passwortmanager bieten aber den selben Service an, meist im Preis inbegriffen. Mozilla Firefox machts sogar kostenlos, soweit ich weiß.
Bloß stehen die Passwörter da nicht im Klartext drin, sondern die alarmieren dich nur, wenn deine E-Mail in einem Leak auftaucht. Sollte aber doch reichen, oder?