8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht
In einschlägigen Szeneforen für Hacker ist eine riesige rund 100 Gigabyte große TXT-Datei mit insgesamt mehr als 8,4 Milliarden gesammelten Passwörtern aus den unterschiedlichsten „Leaks“ aufgetaucht. Der Initiator selbst behauptet indes gar 82 Milliarden Passwörter, wie CyberNews berichtet.
RockYou2021 mit mehr als 8,4 Milliarden Passwörtern
Demnach konnten aber „nur“ 8.459.060.239 Passwörter in der TXT-Datei identifiziert werden. Der Hacker selbst taufte sein TXT-Dokument in Anlehnung an das Datenleck „RockYou“ aus dem Jahr 2009 auf den Namen „RockYou2021“. Die Neuauflage aus dem Jahr 2021 ist allerdings weitaus umfangreicher als das Original, welches seinerzeit rund 32 Millionen unterschiedliche Passwörter preisgegeben hatte.
Auch die 3,2 Millionen Kennwörter, die im Rahmen von breachcomp2.0 alias „COMB“ veröffentlicht wurden, sind in der neuen Liste zu finden. Die weiteren 6 bis 20 Zeichen langen Passwörter werden zur Stunde noch von CyberNews gesichtet.
Anwender können ihre Passwörter überprüfen
Außerdem arbeitet die Redaktion der Website derzeit daran, die Passwörter aus dem RockYou2021-Dokument in einen speziellen Passwort-Prüfer zu integrieren.
Der Prüfer überträgt die eingegebenen Passwörter dabei aber nicht an den Server von CyberNews, sondern sendet lediglich eine Hash-Summe der Eingabe, welche sich auch nicht zurück rekonstruieren lässt.
Zwei Faktoren für mehr Datensicherheit im Netz
Die Website empfiehlt betroffenen und nicht betroffenen Anwendern darüber hinaus, zukünftig grundsätzlich von einer Zwei-Faktor-Authentifizierung (2FA) Gebrauch zu machen. Eine Empfehlung, der sich die Redaktion nur anschließen kann.
Erst Anfang April gelangte ein Datensatz mit Informationen zu 530 Millionen Nutzern der wegen Datenschutzmängeln immer wieder im Fokus stehenden Social Media-Plattform Facebook in Umlauf, nachdem diese zuvor Millionen von Passwörter unverschlüsselt gespeichert hatte.
Passwörter sicher überprüfen
Da der POST-Request das zu prüfende Passwort im Klartext anzeigt, sollten Anwender lieber auf Plattformen wie have i been pwned? ausweichen um ihre Passwörter zu prüfen. Dort kann die API auch direkt angesprochen und anhand der ersten 5 Zeichen des SHA-1-Hashes mögliche Treffer gefunden werden.
Die Redaktion dankt Community-Mitglied „madawi92“ für den Hinweis zu diesem Update.