Digital
Online-Sicherheit

RockYou2024: Das steckt hinter dem grössten Passwort-Leak aller Zeiten

Passwort-Leak (Symbolbild)
Wer sich an die gängigen Vorsichtsmassnahmen hält, hat (fast) nichts zu befürchten.Bild: imago-images.de

Aufregung um «grösstes Passwort-Leak aller Zeiten» – das steckt dahinter

In einem Hacker-Forum ist unter der Bezeichnung RockYou2024 die angeblich grösste Sammlung gestohlener Login-Daten veröffentlicht worden. Kein Grund zur Panik!
09.07.2024, 13:3410.07.2024, 08:59
Mehr «Digital»

Seit Tagen machten alarmierende Meldungen über das angeblich grösste Passwort-Leak aller Zeiten die Runde. Fast zehn Milliarden gestohlene Login-Daten seien in einer Datei namens rockyou2024.txt enthalten. Dabei handle es sich um User-Daten, die aus verschiedenen aktuellen und älteren Leaks zusammengetragen wurden.

Das ursprüngliche Posting im Hacker-Forum datiert vom 4. Juli. Seither häuften sich allerdings auf der Social-Media-Plattform X (Twitter) die skeptischen Einschätzungen von unabhängigen Cybersicherheits-Experten.

Wie schlimm ist es?

Nicht weiter besorgniserregend, sagen Leute, die die ZIP-Datei heruntergeladen und analysiert haben.

Er habe sich die entsprechende Liste angesehen und sie sei «absoluter Müll», hält der autistische kanadische Hacker Dustin Heywood und X-User EvilMog fest. Und ein anderer Kenner der Materie bestätigt, dass die zusammengestellten Daten keinen Wert hätten.

«Die RockYou2024-Version ist Müll. Die Datei beginnt mit vielen 0x00, und eine schnelle Durchsicht der Zeichenfolgen zeigt, dass sie viele gehashte Passwörter enthält (wie aus /etc/passwd). Auch zufällige Firmennamen und andere Sachen. Ich bezweifle stark, dass sie irgendeinen echten Wert/eine echte Bedrohung darstellt.»

Demnach sind viele der in der Textdatei enthaltenen Passwörter nicht im Klartext aufgeführt, sondern als Hash-Version. Das heisst, sie sind leicht verschlüsselt, sodass sie nicht ohne zusätzlichen Aufwand für Anmeldeversuche missbraucht werden können.

Was lernen wir daraus?

Im Prinzip könnten Hacker solche Passwörter-Listen verwenden, um sogenannte Brute-Force-Angriffe durchzuführen und sich unbefugten Zugriff auf verschiedene Online-Konten zu verschaffen. Dazu lassen sie eine Software alle bekannten Benutzernamen-Passwort-Kombinationen automatisch durchprobieren.

Wer seit vielen Jahren das immer gleiche Passwort verwendet, muss tatsächlich damit rechnen, dass eigene Online-Konten kompromittiert werden.

Wer einzigartige Passwörter verwendet und diese über einen Passwort-Manager verwaltet, sollte sicher sein. Insbesondere dann, wenn bei den Online-Diensten die Zwei-Faktor-Authentifizierung (2FA) aktiv ist. Denn so können Angreifer selbst dann nicht in fremde Konten eindringen, wenn sie die Login-Daten kennen.

Anzumerken ist, dass schon früher entsprechende Textdateien im Internet verbreitet wurden. Vor drei Jahren veröffentlichte Cybernews.com einen Artikel über die damals angeblich grösste Passwort-Sammlung RockYou2021 mit 8,4 Milliarden Passwörtern im Klartext.

Bin ich betroffen?

Das kannst du auf dieser Passwort-Check-Website von Cybernews herausfinden. Du gibst deine E-Mail-Adresse oder Telefonnummer ein und erfährst innert Kürze, ob deine Login-Daten in einem Leak enthalten waren – und von Hinz und Kunz im Internet einsehbar sind.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So aktiviert man die erweiterte iCloud-Verschlüsselung
1 / 17
So aktiviert man die erweiterte iCloud-Verschlüsselung
Was ist das Wertvollste, das du auf deinem Apple-Gerät hast? Sind es Fotos, Chatnachrichten, Sprachmemos, Notizen oder andere Dateien? Und damit zur wichtigsten Frage ...
quelle: apple
Auf Facebook teilenAuf X teilen
Dieser Journalist ging durch die Social-Media-Hölle
Video: srf
Das könnte dich auch noch interessieren:
62 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Alnothur
09.07.2024 14:21registriert April 2014
Ich kann nur jedem empfehlen, einen Passwortmanager zu nutzen. Es gibt viele da draussen, deswegen eine persönliche Empfehlung: Bitwarden. Gibts für alle Plattformen, ist simpel, und in der Basisversion (die eigentlich für fast alle Zwecke ausreichend ist) kostenlos.
Wenn man will, kann man Bitwarden (bzw. das vollständig kompatible Vaultwarden) sogar selbst auf einem Server hosten.
451
Melden
Zum Kommentar
avatar
Walter Sahli
09.07.2024 14:21registriert März 2014
Wenn die Adresse auf der Check-Website als geleakt erscheint, heisst das noch lange nicht, dass der E-Mail Account gehackt wurde. Die Kombination E-Mailadresse-Passwort kann von irgendeiner Seite stammen, auf der man einen Account angelegt hat, wie z.Bsp. watson. Deswegen ist es so wichtig, eine solche Kombination nur einmal zu verwenden.
430
Melden
Zum Kommentar
avatar
olaus
09.07.2024 13:52registriert August 2018
"Hash" ist eine Einweg-Verschlüsselung. Das Passwort ist zum Beispiel "MeinPasswort22", daraus wird mit einem Algorithmus dann +%XbFQ berechnet und abgespeichert. Das ist aber nicht umkehrbar, ein Hacker kann also nicht aus +%XbFQ wieder zurückrechnen auf "MeinPasswort22". Er kann aber einfach für alle halbwegs plausiblen Passwörter ebenfalls den Hash rechnen und schauen, ob das übereinstimmt. Das heisst: Passwörter wie "1234" sind sehr einfach zu knacken, "MeinPasswort22" ist mittelschwer, sowas wie "Obfagu22Turi!?" ist safe.
301
Melden
Zum Kommentar
62
Samsung enthüllt den Galaxy Ring und überrascht alle
Samsung präsentiert neue Galaxy-Geräte: Nebst faltbaren Smartphones kommen neue Kopfhörer und eine besonders leistungsfähige Smartwatch. Die spannendste Neuheit ist aber der Galaxy Ring.

Samsung unternimmt einen neuen Anlauf, Klapp-Smartphones aus der Nische zu holen, und stellte am Mittwochnachmittag das Galaxy Z Flip 6 und das Galaxy Z Fold 6 vor – zwei aufklappbare Geräte, die in jeder Hinsicht unterschiedliche Zielgruppen ansprechen.

Zur Story