
Ihr Lieben,
ich bin bei Passwort-Check-Seiten immer vorsichtig und warne eher davor...
Ich versuche es mal nicht allzu technisch zu beschreiben, aber empfehle Euch dringend, alles zu lesen.
Passwörter werden meistens in den Datenbanken der Seiten, für die sie gewählt sind, verschlüsselt gespeichert. Jemand, der unbedingt einen fremden Zugang kapern möchte, hat unter anderem zwei Möglichkeiten.
Entweder kann er alle möglichen Passwörter durchprobieren. Das muss er nicht von Hand tun, dafür gibt es mittlerweile Programme. Diese Programme nutzen Wortlisten, in denen sehr viele gebräuchliche Wörter und Wortkombinationen enthalten sind, und sie klappern Möglichkeit für Möglichkeit ab, bis der Login klappt. (Daher sind Passwörter wie "Halsband" oder "Lederpeitsche" im Grunde nutzlos.)
Eine weitere Möglichkeit eines Angreifers ist, über illegale Wege an die Datenbank zu kommen, um dort die den Nutzern zugeordneten Passwörter zu sehen und sie dann auf anderen Seiten, auf denen der Nutzer auch angemeldet ist, auszuprobieren. (Daher immer die Warnung, niemals gleiche Passwörter auf unterschiedlichen Seiten zu verwenden.) Da die Passwörter verschlüsselt in der Datenbank vorliegen, versuchen Programme, aus Listen gebräuchlicher Wörter die Schlüsselwerte zu erzeugen und diese dann mit denen in der Datenbank zu vergleichen. Stimmen der erzeugte und der gespeicherte Schlüssel überein, weiß der Angreifer auch ohne Entschlüsselung das Passwort.
Letztendlich hängt der Erfolg des Angreifers also unter anderem davon ab, wie umfangreich und gut die von ihm verwendete Wortliste ist. Gute Wortlisten haben daher einen Wert und werden auch gehandelt. Erstellt werden diese Listen aber nicht, indem jemand am Computer sitzt und den Duden abtippt und mögliche Passwörter erfindet. Viel einfacher ist es doch, wenn man die Nutzer selbst fragt. Und das tut man am besten, indem man sie zu einem Passworttest auffordert, ihnen ein (durchaus vernünftiges) Ergebnis präsentiert - und ganz nebenbei sowie unbemerkt das vom Nutzer eingegebene Passwort in die Wortliste aufnimmt.
Wer also sein Passwort auf Passwort-Check-Seiten eingibt, der teilt es einem ihm unbekannten Dritten unverschlüsselt mit und hat fortan keine Garantie mehr, dass es nicht schon eine Stunde später in irgendeiner Wortliste im Web unterwegs ist. Aus meiner Sicht verliert ein Passwort seinen Schutz, sobald man es auf diese Weise testet.
Nun noch eine wichtige Anmerkung: Mein Hinweis ist allgemein gemeint und bezieht sich ausdrücklich nicht auf eine bestimmte (insbesondere nicht speziell auf die von meinem Vorredner genannte) Passwort-Check-Seite. Es gibt sicher auch gut gemeinte und zuverlässige Passwort-Check-Seiten sowie Seiten augenscheinlich bekannter Anbieter - aber wer kann sicher sein, dass eine solche Seite nicht auch schon kompromittiert wurde? Jeder muss mit Hilfe seines Verstandes selbst entscheiden, was er im Web für richtig hält.
Liebe Grüße
Jona