Ich staunte nicht schlecht, als ich auf dem iPhone nach einem PW für ne Webseite suchte, die ich schon einige Zeit nicht mehr betreten hatte.
Ich wurde vor einem kompromittiertem PW gewarnt, das angeblich bei einem Datenleck gefunden worden sei.
Gegenprobe am Mac: Die gleiche Warnung.
Abgesehen davon, dass es ja nett ist, davor gewarnt zu werden:
Wie kommt Apple dazu? Ich habe das nicht abgesegnet, dass Apple meine Passwörter gegen Datenlecks checken soll.

Und dazu muss Apple ja meine Passwörter durchforsten, die ich im Schlüsselbund gesichert habe.
Wie kommt Apple dazu?
Das ist doch frech und das Gegenteil von vertrauenswürdig, oder was meint ihr?

Wenn du das nicht willst, dann stell das doch in den Einstellungen ab.
Und lies das:

Wenn alle login Daten der Seite gestohlen wurden, ist klar das deins dabei war.
In dem Fall müsste dein PW Apple ja nicht bekannt sein.
Wo genau wurdest du denn gewarnt, im Browser?
Und wie hast du nach deinem PW auf dem iPhone gesucht?

Apple greift auf eine Datenbank zurück, um herauszufinden, ob ein Password irgendwo abgeschnorchelt wurde.

https://haveibeenpwned.com/Passwords

Das ist ein gängiges Verfahren und wird auch von anderen Programmen (Firefox z. B.) gemacht.

Es ist sicher, du brauchst deswegen keine Düse zu bekommen.

Okay Danke für die Aufklärung. Ich habs kapiert und anscheinend wird die Kompromittierung bei mir und nicht bei Apple geprüft.
Uff! Ich dachte schon, dass Apple gutmeinend meine PW durchschnüffelt.
Bin jetzt beruhigt.
Habs trotzdem ausgeschaltet.

… und benutzt dein kompromittiertes Passwort weiter? Stattdessen solltest die Warnung aktiviert lassen und so schnell wie möglich ein neues Passwort für diese Website anlegen.

Aber wenn du deine Datensicherheit lieber aufs Spiel setzt, dann wünsch ich dir viel, viel Glück. Du wirst es brauchen.

Es ist aber m.E. nicht sein, sondern ein kompromittiertes Passwort. Apple prüft, ob gängige Passwörter aus Datenbanken genutzt werden. Bei einem brut-force-attack wird der Angreifer gängige Passwörter durchprobieren. Ganz so schlimm ist es also nicht, wenn piik sein Passwort weiter nutzt. Empfehlenswert aber auch nicht.

Immer wieder spannend, welche Schlussfolgerungen Menschen ziehen, obwohl man glaubt, man habe es ihnen wasserdicht erklärt.

Wenn du in Zukunft so wenig unsicher wie möglich unterwegs sein willst, dann lasse die Funktion eingeschaltet und ändere deine Passwörter!

Mir ist das zu viel erhobener Zeigefinger. Ich nutze die Apple-Schlüsselbundverwaltung kaum und bin nicht davon betroffen. Ich hatte aber zuvor einen Passwortmanager, der auch so wie oben gewarnt hat.
Ich wurde gewarnt,
- wenn ich keine Sonderzeichen oder Zahlen verwendet habe, selbst bei einer 30-Zeichen Passphrase
- bei doppelten Passwörtern. Es gibt aber mehrere unterschiedliche Webseiten für den selben Dienst. Klar, dass das Passwort dann gleich ist.
- wenn ich meiner Fritzbox einer banales Passwort wie 12345 gegeben habe, obwohl der Router gar nicht von außen erreichbar ist
- Webseiten wie MTN brauchen auch kein besonders sicheres Passwort.

Es gibt schon Gründe, so eine Überprüfung abzuschalten.

Nein. Jedenfalls ist keiner der von Dir genannten ein geeigneter Grund, die Warnung vor kompromittierten Paßwörtern abzuschalten.

Man kann trefflich über die Sinnhaftigkeit mancher Paßwort-Richtlinien streiten, da hast Du vollkommen recht. Dazu zählen insbesondere auch Regeln, die einem alle 30 Tage ein neues "sicheres" Paßwort abverlangen - die sorgen dann zuverlässig dafür, daß Leute dann Paßwörter wie "Dezember2021?" wählen oder sich die Dinger gleich aufschreiben.

"Banale" Paßwörter wie "12345" sind allerdings einfach nur dämlich. Du glaubst vielleicht, daß Deine Fritzbox nicht von außen erreichbar ist, aber weißt Du es sicher? Und was ist nach dem nächsten Upgrade? Programmierfehler passieren gerne mal, selbst wenn man dem Hersteller keinen bösen Willen unterstellen will.

Aber eines ist ganz sicher keine gute Idee: Die Warnung vor Webseiten, die komporomittiert wurden, abzuschalten. Erstens willst Du Dein Paßwort ändern, und zweitens willst Du wissen, daß Deine Daten auf der betreffenden Seite nicht so gut aufgehoben sind.

Paßwortmanager, einzigartige 32 Zeichen-Zufallspaßwörter mit Sonderzeichen, Ziffern und Groß-/Kleinschreibung, gut ist's. Wenn eines kompromittiert wird (wovor man auch noch gewarnt wird, wenn man das nicht abschaltet), genau dieses eine austauschen. Diverse Paßwortregeln sind bei dieser Komplexität im Normalfall automatisch erfüllt.

Dann können einem nur noch bekloppte Dienste auf den Nerv gehen, die nur bestimmte Zeichen für Paßwörter zulassen (z.B. Telekom Business Service Portal). Dafür gibt es keinen einzigen guten Grund, denn Paßwörter sollten ohnehin nur als Hash übertragen abgespeichert werden, und dann ist der Eingangszeichensatz gerade mal vollkommen egal.

Die Apple-Warnung bezieht sich aber doch nicht auf Webseiten, die kompromittiert wurden, sondern sammelt von allen Datenkompromittierungen die Passwörter und prüft, ob ein Passwort ganz generell zu den Millionen der häufigsten Passwörter gehört. So wie beim Link von Ely.
piik hatte es nicht mit einer Warnung aus Webseite + Benutzername + Passwort (sein Passwort) zu tun, sondern lediglich vor gebräuchliches Passwort (ein Passwort).

Dein letzter Abschnitt zu eingeschränkten Zeichensätzen sehe ich auch so, das stört beim Einsatz eines Passwortmanagers enorm. Ich nutzte einen Passwortmanager und würde gerne darauf verzichten, meine Passwörter zu korrigieren, weil es so einem Dienst wie der genannten Telekom nicht passt. Und lange Passphrasen werden ohnehin gerne abgelehnt.

PS meine Fritzbox ist nicht erreichbar, weil sie gar keine direkte Internetverbindung hat, sondern im Bridge-Einsatz quasi als Repeater tätig ist. Dennoch mal gerade geprüft: 12-stellig und not pwned