freundlich15°
DE | FR
burger
Digital
Online-Sicherheit

RockYou2024: Das steckt hinter dem grössten Passwort-Leak aller Zeiten

Passwort-Leak (Symbolbild)
Wer sich an die gängigen Vorsichtsmassnahmen hält, hat (fast) nichts zu befürchten.Bild: imago-images.de

Aufregung um «grösstes Passwort-Leak aller Zeiten» – das steckt dahinter

In einem Hacker-Forum ist unter der Bezeichnung RockYou2024 die angeblich grösste Sammlung gestohlener Login-Daten veröffentlicht worden. Kein Grund zur Panik!
09.07.2024, 13:3424.06.2025, 09:01
Daniel Schurter
Daniel Schurter
Mehr «Digital»

Seit Tagen machten alarmierende Meldungen über das angeblich grösste Passwort-Leak aller Zeiten die Runde. Fast zehn Milliarden gestohlene Login-Daten seien in einer Datei namens rockyou2024.txt enthalten. Dabei handle es sich um User-Daten, die aus verschiedenen aktuellen und älteren Leaks zusammengetragen wurden.

Das ursprüngliche Posting im Hacker-Forum datiert vom 4. Juli. Seither häuften sich allerdings auf der Social-Media-Plattform X (Twitter) die skeptischen Einschätzungen von unabhängigen Cybersicherheits-Experten.

Inhaltsverzeichnis
Wie schlimm ist es?Was lernen wir daraus?Bin ich betroffen?Quellen

Wie schlimm ist es?

Nicht weiter besorgniserregend, sagen Leute, die die ZIP-Datei heruntergeladen und analysiert haben.

Er habe sich die entsprechende Liste angesehen und sie sei «absoluter Müll», hält der autistische kanadische Hacker Dustin Heywood und X-User EvilMog fest. Und ein anderer Kenner der Materie bestätigt, dass die zusammengestellten Daten keinen Wert hätten.

«Die RockYou2024-Version ist Müll. Die Datei beginnt mit vielen 0x00, und eine schnelle Durchsicht der Zeichenfolgen zeigt, dass sie viele gehashte Passwörter enthält (wie aus /etc/passwd). Auch zufällige Firmennamen und andere Sachen. Ich bezweifle stark, dass sie irgendeinen echten Wert/eine echte Bedrohung darstellt.»
quelle: x.com

Demnach sind viele der in der Textdatei enthaltenen Passwörter nicht im Klartext aufgeführt, sondern als Hash-Version. Das heisst, sie sind leicht verschlüsselt, sodass sie nicht ohne zusätzlichen Aufwand für Anmeldeversuche missbraucht werden können.

Was lernen wir daraus?

Im Prinzip könnten Hacker solche Passwörter-Listen verwenden, um sogenannte Brute-Force-Angriffe durchzuführen und sich unbefugten Zugriff auf verschiedene Online-Konten zu verschaffen. Dazu lassen sie eine Software alle bekannten Benutzernamen-Passwort-Kombinationen automatisch durchprobieren.

Wer seit vielen Jahren das immer gleiche Passwort verwendet, muss tatsächlich damit rechnen, dass eigene Online-Konten kompromittiert werden.

Wer einzigartige Passwörter verwendet und diese über einen Passwort-Manager verwaltet, sollte sicher sein. Insbesondere dann, wenn bei den Online-Diensten die Zwei-Faktor-Authentifizierung (2FA) aktiv ist. Denn so können Angreifer selbst dann nicht in fremde Konten eindringen, wenn sie die Login-Daten kennen.

Anzumerken ist, dass schon früher entsprechende Textdateien im Internet verbreitet wurden. Vor drei Jahren veröffentlichte Cybernews.com einen Artikel über die damals angeblich grösste Passwort-Sammlung RockYou2021 mit 8,4 Milliarden Passwörtern im Klartext.

Bin ich betroffen?

Das kannst du auf dieser Passwort-Check-Website von Cybernews herausfinden. Du gibst deine E-Mail-Adresse oder Telefonnummer ein und erfährst innert Kürze, ob deine Login-Daten in einem Leak enthalten waren – und von Hinz und Kunz im Internet einsehbar sind.

Quellen

Schweizer nehmen Passwort-Sicherheit zu wenig ernst – 3 simple Tipps, wie du dich schützt
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
So aktiviert man die erweiterte iCloud-Verschlüsselung
1 / 17
So aktiviert man die erweiterte iCloud-Verschlüsselung
Was ist das Wertvollste, das du auf deinem Apple-Gerät hast? Sind es Fotos, Chatnachrichten, Sprachmemos, Notizen oder andere Dateien? Und damit zur wichtigsten Frage ...
quelle: apple
Auf Facebook teilenAuf X teilen
Dieser Journalist ging durch die Social-Media-Hölle
Video: srf
Das könnte dich auch noch interessieren:
57 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Alnothur
09.07.2024 14:21registriert April 2014
Ich kann nur jedem empfehlen, einen Passwortmanager zu nutzen. Es gibt viele da draussen, deswegen eine persönliche Empfehlung: Bitwarden. Gibts für alle Plattformen, ist simpel, und in der Basisversion (die eigentlich für fast alle Zwecke ausreichend ist) kostenlos.
Wenn man will, kann man Bitwarden (bzw. das vollständig kompatible Vaultwarden) sogar selbst auf einem Server hosten.
451
Melden
Zum Kommentar
avatarbadge
Walter Sahli
09.07.2024 14:21registriert März 2014
Wenn die Adresse auf der Check-Website als geleakt erscheint, heisst das noch lange nicht, dass der E-Mail Account gehackt wurde. Die Kombination E-Mailadresse-Passwort kann von irgendeiner Seite stammen, auf der man einen Account angelegt hat, wie z.Bsp. watson. Deswegen ist es so wichtig, eine solche Kombination nur einmal zu verwenden.
430
Melden
Zum Kommentar
avatar
olaus
09.07.2024 13:52registriert August 2018
"Hash" ist eine Einweg-Verschlüsselung. Das Passwort ist zum Beispiel "MeinPasswort22", daraus wird mit einem Algorithmus dann +%XbFQ berechnet und abgespeichert. Das ist aber nicht umkehrbar, ein Hacker kann also nicht aus +%XbFQ wieder zurückrechnen auf "MeinPasswort22". Er kann aber einfach für alle halbwegs plausiblen Passwörter ebenfalls den Hash rechnen und schauen, ob das übereinstimmt. Das heisst: Passwörter wie "1234" sind sehr einfach zu knacken, "MeinPasswort22" ist mittelschwer, sowas wie "Obfagu22Turi!?" ist safe.
301
Melden
Zum Kommentar
57
Meistgelesen
1
Forensik-Experte erklärt, was mit Dahlmeiers Leichnam am Berg passiert
2
Der Schweizer Mittelstand ist eine Illusion
3
Er fand sie «oberlehrerhaft»: Neue Details zu Keller-Sutters Telefonat mit Trump
4
Erst die Fails – dann alles andere (die Arbeit, möglicherweise)
5
«Die Kapitulation habe ich nicht kommen sehen»: Kamala Harris rechnet mit Demokraten ab
Meistkommentiert
1
Sesko mit zwei Klubs einig – nun entscheidet Leipzig +++ Jashari-Wechsel angeblich fix
2
«Sie wollte nicht zuhören» – Trump spricht im TV über Keller-Sutter
3
Mit «attraktiverem Angebot» im Koffer – Keller-Sutter und Parmelin reisen nach Washington
4
«Unansehnlich und pornografisch» – Dänemark will Meerjungfrau-Statue entfernen
5
«Ich war schockiert» – brandneues Tesla-Modell hat Bremsdefekt
Meistgeteilt
1
Aussenminister fordert mehr Druck auf Hamas +++ Armeechef präsentiert Gaza-Pläne
2
Bangladeschs Übergangsregierung kündigt Wahl für Februar an
3
«Nicht hundert andere fragen» – diese Tipps erhält der Bundesrat im Zollstreit
4
Trump über Zolldeal mit EU: «Sie haben uns 600 Milliarden Dollar Geschenkt»
5
Evenepoel wechselt zu RedBull-Bora-Hansgrohe + Deutscher Weltmeister Frank Mill ist tot
Grossauftrag für deutschen KI-Chip-Spezialisten Spinncloud
Das deutsche Start-up Spinncloud hat einen Grossauftrag für seine KI-Chips erhalten. Diese ahmen das menschliche Gehirn nach.
Mit dem bislang grössten Gehirn inspirierten Supercomputer soll an der Universität Leipzig vor allem KI-gestützte Medikamentenforschung betrieben werden, teilten das Unternehmen und die Hochschule mit. Das genaue finanzielle Volumen des «millionenschweren Auftrags» wurde nicht beziffert. Die Vereinbarung soll in den kommenden zwei Monaten umgesetzt werden.
Zur Story