Seit Tagen machten alarmierende Meldungen über das angeblich grösste Passwort-Leak aller Zeiten die Runde. Fast zehn Milliarden gestohlene Login-Daten seien in einer Datei namens rockyou2024.txt enthalten. Dabei handle es sich um User-Daten, die aus verschiedenen aktuellen und älteren Leaks zusammengetragen wurden.
Das ursprüngliche Posting im Hacker-Forum datiert vom 4. Juli. Seither häuften sich allerdings auf der Social-Media-Plattform X (Twitter) die skeptischen Einschätzungen von unabhängigen Cybersicherheits-Experten.
Nicht weiter besorgniserregend, sagen Leute, die die ZIP-Datei heruntergeladen und analysiert haben.
Er habe sich die entsprechende Liste angesehen und sie sei «absoluter Müll», hält der autistische kanadische Hacker Dustin Heywood und X-User EvilMog fest. Und ein anderer Kenner der Materie bestätigt, dass die zusammengestellten Daten keinen Wert hätten.
I'm calling it: The rockyou2024 release is garbage. File starts with lots of 0x00, and a quick run of strings shows that there are lots of hashed passwords in there (like from /etc/passwd). Also random company names and other stuff. I highly doubt it brings any real value/threat. pic.twitter.com/3maM7BoLOS
— Lars Karlslund - mucking around with your AD (@lkarlslund) July 5, 2024
Demnach sind viele der in der Textdatei enthaltenen Passwörter nicht im Klartext aufgeführt, sondern als Hash-Version. Das heisst, sie sind leicht verschlüsselt, sodass sie nicht ohne zusätzlichen Aufwand für Anmeldeversuche missbraucht werden können.
Im Prinzip könnten Hacker solche Passwörter-Listen verwenden, um sogenannte Brute-Force-Angriffe durchzuführen und sich unbefugten Zugriff auf verschiedene Online-Konten zu verschaffen. Dazu lassen sie eine Software alle bekannten Benutzernamen-Passwort-Kombinationen automatisch durchprobieren.
Wer seit vielen Jahren das immer gleiche Passwort verwendet, muss tatsächlich damit rechnen, dass eigene Online-Konten kompromittiert werden.
Wer einzigartige Passwörter verwendet und diese über einen Passwort-Manager verwaltet, sollte sicher sein. Insbesondere dann, wenn bei den Online-Diensten die Zwei-Faktor-Authentifizierung (2FA) aktiv ist. Denn so können Angreifer selbst dann nicht in fremde Konten eindringen, wenn sie die Login-Daten kennen.
Anzumerken ist, dass schon früher entsprechende Textdateien im Internet verbreitet wurden. Vor drei Jahren veröffentlichte Cybernews.com einen Artikel über die damals angeblich grösste Passwort-Sammlung RockYou2021 mit 8,4 Milliarden Passwörtern im Klartext.
Das kannst du auf dieser Passwort-Check-Website von Cybernews herausfinden. Du gibst deine E-Mail-Adresse oder Telefonnummer ein und erfährst innert Kürze, ob deine Login-Daten in einem Leak enthalten waren – und von Hinz und Kunz im Internet einsehbar sind.
Wenn man will, kann man Bitwarden (bzw. das vollständig kompatible Vaultwarden) sogar selbst auf einem Server hosten.