Stellen Sie sich vor: Sie verwenden seit Jahren dasselbe Passwort auf mehreren Websites. Eines Morgens erhalten Sie eine Warnung, dass Ihre Zugangsdaten im Dark Web kursieren. Diese Situation ist nicht hypothetisch – sie passiert täglich Tausenden von Nutzern. Dennoch wissen die meisten Entwickler nicht, wie sie proaktiv überprüfen können, ob ihre eigenen Passwörter kompromittiert wurden.
Entgegen der landläufigen Meinung müssen Sie kein Cybersicherheitsexperte sein, um grundlegende Schutzwerkzeuge zu erstellen. In weniger als 50 Zeilen Python-Code können Sie einen Passwort-Leak-Checker bauen, der echte Daten aus Datenschutzverletzungen nutzt. Dieser Artikel führt Sie Schritt für Schritt durch die Erstellung eines solchen Tools und erklärt, warum dieser Ansatz effektiver ist als manuelle Überprüfungen und wie Sie ihn in Ihre Entwicklungs-Workflows integrieren können.
Warum Textdateien nach Klartext-Passwörtern durchsuchen?
Bevor Sie überprüfen, ob ein Passwort online geleakt wurde, müssen Sie zunächst sicherstellen, dass es nicht im Klartext in Ihrem Code oder Ihren Konfigurationsdateien gespeichert ist. Wie ein Nutzer der Spiceworks Community betont, ist die Suche nach hartcodierten Passwörtern in Textdateien eine echte Sorge für IT-Teams. Das Python-Skript, das wir entwickeln werden, könnte angepasst werden, um Verzeichnisse nach Zeichenketten zu durchsuchen, die Passwörtern ähneln – eine oft vernachlässigte erste Verteidigungslinie.
Der traditionelle Ansatz besteht darin, nach spezifischen Mustern zu suchen, aber wie in der Diskussion auf Spiceworks angemerkt, hat diese Methode ihre Grenzen. Ein Passwort wie "P@ssw0rd2025!" könnte einer Suche basierend auf dem Begriff "password" entgehen. Deshalb konzentriert sich unser Tool zunächst auf die externe Überprüfung über bekannte Leak-Datenbanken.
Die Have I Been Pwned API: Ihr Verbündeter gegen Leaks
Das Herzstück unseres Detektors wird die Have I Been Pwned (HIBP) API sein, ein von Troy Hunt gepflegter Dienst, der Milliarden kompromittierter Konten aggregiert. Anstatt das Passwort im Klartext zu übertragen, verwenden wir die k-Anonymität-Technik: Es wird nur ein Präfix des SHA-1-Hashs des Passworts gesendet, wodurch die Vertraulichkeit gewahrt bleibt. Die API gibt dann die vollständige Liste der Hashs zurück, die diesem Präfix entsprechen, die wir lokal mit dem vollständigen Hash vergleichen.
Dieser Ansatz, beschrieben in einem Artikel der DEV Community, stellt die empfohlene Methode dar, um Leaks zu überprüfen, ohne das ursprüngliche Passwort preiszugeben. Er kombiniert Effizienz und Datenschutz – zwei entscheidende Aspekte, die in Sicherheitstools oft im Spannungsfeld stehen.
Der Code: Ein Python-Skript in drei Teilen
1. Installation der Abhängigkeiten
Unser Skript benötigt lediglich die Bibliothek `requests`, die Sie über pip installieren können:
pip install requests
2. Sichere Hash-Funktion
import hashlib
import requests
def check_password_leak(password):
# SHA-1-Hash des Passworts erstellen
sha1_hash = hashlib.sha1(password.encode('utf-8')).hexdigest().upper()
prefix = sha1_hash[:5]
suffix = sha1_hash[5:]
# HIBP-API abfragen
url = f"https://api.pwnedpasswords.com/range/{prefix}"
response = requests.get(url)
if response.status_code == 200:
hashes = (line.split(':') for line in response.text.splitlines())
for h, count in hashes:
if h == suffix:
return True, int(count)
return False, 0
else:
raise Exception("API-Anfrage fehlgeschlagen")
3. Einfache Benutzeroberfläche
def main():
print("=== Passwort-Leak-Prüfer ===")
password = input("Geben Sie das zu überprüfende Passwort ein : ")
try:
leaked, count = check_password_leak(password)
if leaked:
print(f"⚠️ Dieses Passwort wurde in {count} Datenleaks gefunden.")
print("Empfehlung: Ändern Sie es sofort.")
else:
print("✅ Dieses Passwort wurde nicht in bekannten Leaks gefunden.")
print("Hinweis: Dies garantiert nicht seine Stärke oder Sicherheit.")
except Exception as e:
print(f"Fehler: {e}")
if name == "main":
main()
Über die Überprüfung hinaus: Sichere Generierung und Speicherung
Leaks zu überprüfen ist nur ein Teil der Gleichung. Wenn Ihr Passwort kompromittiert ist, muss es ersetzt werden – aber womit? Wie Stack Overflow betont, sollte ab Python 3.6+ das Modul `secrets` verwendet werden, um kryptografisch sichere Passwörter zu generieren. Hier ist ein ergänzendes Beispiel:
import secrets
import string
def generate_secure_password(length=16):
alphabet = string.ascii_letters + string.digits + string.punctuation
return ''.join(secrets.choice(alphabet) for _ in range(length))
Sobald ein neues Passwort generiert wurde, stellt sich die Frage der Speicherung. Ein anderer Stack-Overflow-Thread behandelt genau dieses Problem: Wie speichert man Zugangsdaten sicher in einem Python-Skript? Die Lösungen reichen von lokaler Verschlüsselung über die Nutzung dedizierter Passworttresore bis hin zu persönlichen Zugriffstokens, wie sie in der Microsoft-Dokumentation für Azure DevOps beschrieben werden.
Praktische Anwendungen und Einschränkungen
Dieses grundlegende Skript kann auf mehrere Arten erweitert werden:
- Automatisches Scannen von Konfigurationsdateien nach hartcodierten Passwörtern (wie in der Spiceworks Community erwähnt)
- Integration der Überprüfung in einen CI/CD-Pipeline, um zu warnen, wenn sensible Zugangsdaten versehentlich committet werden
- Erstellung einer einfachen Web-Oberfläche für nicht-technische Teams
Es weist jedoch wichtige Einschränkungen auf. Es überprüft nur gegen bereits in HIBP dokumentierte Leaks. Ein schwaches, aber noch nicht geleaktes Passwort würde den Test bestehen. Deshalb enthält KnowledgeHut Passwort-Stärke-Testprojekte in seiner Liste von Cybersicherheitsprojekten – die beiden Ansätze ergänzen sich.
Die Zukunft: Wenn Deep Learning auf Passwortsicherheit trifft
Eine faszinierende Herangehensweise entsteht auf der Forschungsseite: Deep Learning nutzen, um Passwörter in Dateien oder Code zu identifizieren. Das DeepPass-Projekt, vorgestellt auf SpecterOps, verwendet Deep-Learning-Modelle, um "Passwort-Kandidaten" in verschiedenen Kontexten zu erkennen. Obwohl komplexer in der Implementierung als unser einfaches Skript, zeigt diese Richtung, wie KI in Zukunft die Erkennung gefährlicher Konfigurationen automatisieren könnte.
Fazit: Sicherheit als tägliche Praxis
Einen Passwort-Leak-Checker in Python zu bauen, ist nicht nur eine technische Übung – es ist die Übernahme einer proaktiven Mentalität gegenüber digitalen Risiken. Indem Sie verstehen, wie diese Tools funktionieren, sind Sie besser gerüstet, um die Sicherheit Ihrer eigenen Praktiken und Ihrer Projekte zu bewerten.
Der hier vorgestellte Code ist ein Ausgangspunkt. Sie könnten ihn erweitern, um Passwortlisten zu verwalten, grundlegende Stärketests hinzuzufügen oder ihn in regelmäßige Audits zu integrieren. In einer Welt, in der laut dem Artikel der DEV Community Milliarden von Zugangsdaten im Dark Web kursieren, könnten diese wenigen Zeilen Python den Unterschied zwischen einer illusorischen Sicherheit und einem echten Schutz ausmachen.
Beginnen Sie damit, Ihre eigenen Passwörter zu testen – die Ergebnisse könnten Sie überraschen. Teilen Sie dann dieses Tool mit Ihrem Team. Sicherheit ist nicht nur eine Angelegenheit von Experten; es ist eine kollektive Verantwortung, die mit zugänglichen Werkzeugen beginnt.
Weiterführende Informationen
- DEV Community - Password Leaks: What Devs. Must Know - Tutorial zur Erkennung von Passwort-Leaks mit Python
- Spiceworks Community - Finding hard coded passwords in text files - Diskussion über die Suche nach Klartext-Passwörtern in Dateien
- SpecterOps - DeepPass — Finding Passwords With Deep Learning - Fortgeschrittener Ansatz mit Deep Learning
- KnowledgeHut - Top Cyber Security Projects - Liste praktischer Cybersicherheitsprojekte
- Stack Overflow - Generate password in Python - Best Practices zur Passwortgenerierung
- Stack Overflow - Securely store username and password in Python - Optionen zur sicheren Speicherung von Zugangsdaten
- Microsoft Learn - Use Personal Access Tokens - Dokumentation zu persönlichen Zugriffstokens