Have I Been Pwned?
Webseite über Passwortsicherheit
From Wikipedia, the free encyclopedia
Have I Been Pwned? (stilisiert als ’;--have i been pwned?, „pwned“ steht für „owned“,[1] wird jedoch wie „poned“ ausgesprochen,[2] übersetzt in etwa „Hat's mich erwischt?“)[1] ist eine Website, auf der Nutzer überprüfen können, ob ihre persönlichen Daten durch Datenlecks kompromittiert wurden. Der Dienst greift auf eine Vielzahl von Datenbankdumps und Pastebins zu und ermöglicht es dem Nutzer so Milliarden von geleakten Konten auf die eigenen Informationen zu durchsuchen. Über eine Anmeldung können Nutzer sich auch benachrichtigen lassen, wenn ihre Daten in zukünftigen Dumps auftauchen. Die Website gilt weithin als wertvolle Ressource für Internetnutzer, um ihre eigene Sicherheit und Privatsphäre zu überprüfen.[1][3][4][5]
| Have I Been Pwned? | |
 | |
| Internet-Sicherheit | |
| Sprachen | englisch |
|---|---|
| Gründer | Troy Adam Hunt |
| Registrierung | optional |
| Online | seit 4. Dez. 2013 |
| (aktualisiert 2023) | |
| https://haveibeenpwned.com/ | |
Im Juni 2019 hatte die Website im Durchschnitt etwa 160.000 Besucher pro Tag, fast drei Millionen aktive E-Mail-Abonnenten und enthielt Datensätze von fast acht Milliarden Konten.[6]
Funktionen
Die Hauptfunktion der Website besteht darin, der Öffentlichkeit eine Möglichkeit zu geben, ihre privaten Informationen auf Kompromittierungen zu überprüfen. Besucher der Website können eine E-Mail-Adresse oder Telefonnummer angeben und erhalten eine Liste aller bekannten Datenschutzverletzungen, die in den Datensätzen auftauchen. Die Website enthält auch Details zu jeder Datenschutzverletzung, wie z. B. die Hintergrundgeschichte der Verletzung und welche spezifischen Arten von Daten betroffen waren.
Der Service bietet auch einen Benachrichtigungsdienst an, bei dem sich Besucher für Benachrichtigungen über künftige Datenschutzverletzungen anmelden können. Werden die angegebenen Daten in einem Datensatz gefunden, erhält der Nutzer eine E-Mail.
Im September 2014 fügte Troy Hunt eine Funktion hinzu, mit der neue Datenschutzverletzungen automatisiert in Echtzeit in die Datenbank von Have I Been Pwned? aufgenommen werden und Nutzer schon vor Berichterstattungen durch Dritte benachrichtigt werden können.[7]
Pwned passwords
Im August 2017 veröffentlichte Troy Hunt rund 306 Millionen Passwörter, die über eine Websuche abgerufen oder im Ganzen heruntergeladen werden konnten.[8] Im Februar 2018 entwickelte der britische Informatiker Junade Ali ein Kommunikationsprotokoll, mit dem überprüft werden kann, ob ein Passwort geleakt wurde, ohne dass das gesuchte Passwort vollständig offengelegt wird.[9][10] Troy Hunt implementierte das Protokoll in seinen Service, welcher seitdem von mehreren Websites und Diensten (wie Passwortmanager[11][12] und Browsererweiterungen[13][14]) genutzt wird. Dieser Ansatz wurde später von Googles Password-Überprüfung übernommen.[15][16][17] Ali arbeitete mit der Cornell University zusammen, um das Protokoll formal zu analysieren, um Einschränkungen zu ermitteln und zwei neue Versionen des Protokolls zu entwickeln.[18]
Im November 2025 wurde die HIBP-Datenbank um weitere 2 Milliarden Einträge erweitert, die von der US-amerikanischen Sicherheitsfirma Synthient LLC. zur Verfügung gestellt wurden[19]; sie umfasst nach eigenen Angaben nun als 17 Milliarden Einträge (Stand 2025).