News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

Murray B. · 10. Juni 2021

Das eigene Passwort auf einer vollkommen unbekannten Website eintippen, um es gegen die Liste prüfen zu lassen? Nicht euer Ernst, CB...

Da löst HIBP das besser: man gibt einen Teil (!) des Passworthashes (!) ein und erhält eine kleine Liste aller vorhandenen Hashes aus der Datenbank. Diese kleine Liste prüft man dann lokal gegen den kompletten Hash des eigenen Passworts.

Alles andere ist hochgradig unseriös und dient vermutlich nur dazu, die Liste zu erweitern.

ExtremBenutzer · 10. Juni 2021

so ein mIst, passwort1234 ist dabei, jetzt muss ich meine Paypal Zugangsdaten ändern

.DeluXer · 10. Juni 2021

Rickmer schrieb:
Bei ca. 350 individuellen gespeicherten Passwörtern sehe ich da keine Chance außer falls ich ein sehr durchschaubares Schema

Der Klassiker:
https://imgs.xkcd.com/comics/password_strength.png

Rickmer · 10. Juni 2021

@.DeluXer Und du meinst ich kann mir 350 Eselsbrücken merken?

Schalk666 · 10. Juni 2021

Naja solange man nicht solche PWs verwendet:

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

.DeluXer · 10. Juni 2021

Rickmer schrieb:
@.DeluXer Und du meinst ich kann mir 350 Eselsbrücken merken?

Benutzt so eins nur als Masterpasswort.
Wichtige Seiten bekommen ein generiertes und Schrottseiten ein Schrottpasswort

ComputerJunge · 10. Juni 2021

Da wird es demnächst ganz viele weitere kostenlose und hilfreiche Passwort-Prüf-Services geben. Natürlich dann mit Eingabe der betroffenen URL, damit der Breach-Check noch präziser wird.

Damien White · 10. Juni 2021

Rickmer schrieb:
@.DeluXer Und du meinst ich kann mir 350 Eselsbrücken merken?

Du musst dir im Endeffekt nur eine Eselsbrücke merken und eine Herangehensweise für das Ersetzen von Buchstaben durch Zeichen und Zahlen.

Nehmen wir das "Correcthorsebatterystable" von XKCD

Jetzt nimm zum Beispiel E durch 3, o durch 0 und A durch @

"C0rr3cth0rs3b@tt3ryst@ble"

Und jetzt pack noch einen Teil der Webseite oder so an eine willkürliche Stelle im Passwort.

"C0rr3cth0rs3b@tc0mput3rb@s3t3ryst@ble"

Das da oben ist ein Passwort, welches du dir extrem einfach merken kannst, welches für jede Seite einzigartig ist und welches so viele Zeichen aller Art besitzt, dass man es als "nahezu unknackbar" bezeichnen kann.

Bl4cke4gle · 10. Juni 2021

Was ist denn der aktuelle Stand der Technik bei Passwörtern? Lieber lang und ohne Sonderzeichen oder doch die relativ kurzen mit vielen Sonderzeichen?
Wie erfolgt in der Regel der Angriff? Werden bekannte Wörter als erstes ausprobiert oder einfach alle möglichen Kombinationen von Zeichen?
Wie viel Rechenpower hat der Angreifer zur Verfügung?

Keynetix · 10. Juni 2021

Ich habe mein Passwort 123456789 geprüft.
"Oh no! Your password has been leaked"
Und ich dachte, mein Passwort wäre sicher.

Damien White · 10. Juni 2021

Bl4cke4gle schrieb:
Was ist denn der aktuelle Stand der Technik bei Passwörtern? Lieber lang und ohne Sonderzeichen oder doch die relativ kurzen mit vielen Sonderzeichen?
Wie erfolgt in der Regel der Angriff? Werden bekannte Wörter als erstes ausprobiert oder einfach alle möglichen Kombinationen von Zeichen?
Wie viel Rechenpower hat der Angreifer zur Verfügung?

Länge ist das Einzige, das schützt.

Keine Ausnahme!

Viele Zeichen, so viele wie möglich, was auch immer die Eingabemaske zulässt. Ein Hacker weis nicht, ob du Sonderzeichen verwendest oder nicht, ergo muss er darauf prüfen. Aber selbst wenn nicht, 26^6 und 26^14 sind so dermaßen weit auseinander wenn es um die Anzahl der möglichen Kombinationen anbelangt ... selbst bei nur Buchstaben ist Länge das Wichtigste.

lokon · 10. Juni 2021

MopedTobias schrieb:
Mal abgesehen davon, dass die Seite anbieten sollte, direkt einen Hash einzugeben

Da ist die Bedien-Schwelle für den einfachen Nutzer zu hoch.
Bei Windows gibt es kein integriertes Programm zu solch einer Berechnung -> es muss aus dem Store geladen bzw. erst installiert werden.

Bei der Benutzung vom Internet-Browser ist für die meisten Nutzer eine Unterscheidung zwischen "Client Code" und "Server Code" nicht einfach möglich - oder von anderen Sicherheitspraktiken - diverse Hacks zeigten immer wieder auch ungehashte Login/PW Userdatenbanken - der Enduser kann am Web-Formular nicht ganz erkennen ob die Datenbank dahinter das macht.

Die Passwort-txt Datei wird vermutlich früher oder später auch normal auftauchen bzw. von normalen Organisationen benutzt werden - nachdem die "Security" Anti-Virenhersteller da mal drübergesehen haben.
Als Blacklist gibt es soetwas für lokale Benutzeraccounts (linux, windows active directory ...) oder Plugins für Wikis, Blogs usw. - die größe macht evtl. bei manchen Systemen mit kleinem RAM probleme - aber Server können ja schon länger >100GB Speicher im RAM haben.
(google zB password blacklist github )

Rickmer · 10. Juni 2021

.DeluXer schrieb:
Benutzt so eins nur als Masterpasswort.

Mein Masterpasswort hatte kurz angefangen und wurde immer wieder verlängert.

Exemplarisch meinem Masterpasswort nacherfunden (selber grober Aufbau, alles random substituiert):

Ich glaube, ich brauch mir da nicht zu viele Sorgen machen. Aber vielleicht hänge ich noch 'ne Jahreszahl hinten dran um es auf eine Länge von 18 Zeichen aufzustocken. Darf nur nicht die aktuelle Jahreszahl oder mein Geburtsjahr sein.

Ich sehe jetzt keinen Grund, das komplett zu ändern weil ich das Passwort eh schon im Kopf habe.

Damien White schrieb:
Das da oben ist ein Passwort, welches du dir extrem einfach merken kannst, welches für jede Seite einzigartig ist und welches so viele Zeichen aller Art besitzt, dass man es als "nahezu unknackbar" bezeichnen kann.

Hat aber zwei Schwachstellen...
1) Im Thread wurden Seiten mit maximaler Passwortlänge schon angesprochen
2) Wenn 2-3 Exemplare davon leaken und sich das ein Mensch anschaut (weil die z.B. alle mit derselben email-Adresse assoziiert sind und ein Skript eine hohe Anzahl identischer Zeichen in allen Passwörtern erkannt hat) kann dieser alle anderen Passwörter erraten

(und 'common substitutions' machen das Passwort kaum sicherer aber schwerer zu schreiben)

Conqi · 10. Juni 2021

Axxid schrieb:
Wenn man ein Passwort eingibt sind es doch thereotisch schlimmstenfalls nur 8.400.000.001 in der Liste. Ohne weitere Informationen kommt man doch um Brute-Force nicht herum.

Der Sinn solcher Listen ist auch eher, dass man daraus die Hashes errechnet und wenn man dann mal eine gehashte Passwortdatenbank (ohne Salt weil Stümper) findet, kann man die abgleichen. Darum ist das Allerwichtigste auch, dass man bei jedem Dienst ein einzigartiges Passwort hat. Mehrfach verwendete Passwörter sind eine große Gefahr, weil damit bis auf MFA praktisch alles an Sicherheitsmechanismen einer Webseite ausgehebelt werden kann.

Falc410 · 10. Juni 2021

Erstmal bezüglich Topic: John wirds freuen - der wird in Zukunft länger laufen. Hoffe mal die rockyou2021.txt findet ihren Weg direkt in Kali

Bonanca schrieb:
Außerdem bin ich Seiten, die Passwörter wie uDG4)c<7q+P] vorschlagen immer skeptisch gegenüber.
Nein danke, ich nehme lieber längere Passwörter und dafür welche, die ich mir auch merken kann.

Bonanca schrieb:
Ich nutze ebenfalls KeePass, trotzdem habe ich gerne noch Kontrolle darüber, wie meine Passwörter aussehen, um nicht darauf angewiesen zu sein.

Ich kann dir SupergenPass empfehlen. Ich benutze das selbst in Kombination KeePass. Damit generierst du ein Passwort aus einem (konfigurierbar zwei) Masterpasswort + Domain. Somit kommst du auf ein Passwort wie von dir empfohlen und du kannst es jederzeit wieder herstellen indem du dir nur das Generatorpasswort merken musst. Im Endeffekt ist es eine Hashfunktion mit Eingabe Masterpasswort + Domainname

Shoryuken94 · 10. Juni 2021

Ich nutze neben einem Passwortmanager auch die Passwortfunktion von Google, wo noch einige alte Zugangsdaten gespeichert waren und Google hatte vor ~2 Tagen eine Warnung bei zwei Passwörtern darin rausgegeben, dass diese publik sind. Da nicht mehr genutzt hab ich mal getestet und diese Passwortprüfseite kennt sie auch

würde da aber nie ein aktiv genutztes Passwort eintragen.

Bl4cke4gle schrieb:
Lieber lang und ohne Sonderzeichen oder doch die relativ kurzen mit vielen Sonderzeichen?

Am besten lang und mit Sonderzeichen. Ist reine Mathematik. Je mehr Kombinationsmöglichkeiten bestehen, umso schwieriger wird eine Attacke. Länge bringt hier aber am meisten. Mindestens ein Sonderzeichen sollte aber verwendet werden. Bei der Länge halt das was die Eingabe hergibt. Ist mit einem Passwortmanager ja egal, wie lang das Passwort ist.

Bl4cke4gle schrieb:
Wie erfolgt in der Regel der Angriff? Werden bekannte Wörter als erstes ausprobiert oder einfach alle möglichen Kombinationen von Zeichen?

Man arbeitet in aller Regel mit solchen Passwortlisten, diese kann man relativ schnell abprüfen und sich somit viel Zeit und Rechenaufwand als Angreifer ersparen. Kommt aber halt auch etwas darauf an, was und wen man angreift. Zudem kann man mit der Liste eine Hashliste erstellen und so Passwörter im Klartext aus erbeuteten Daten generieren. Wenn z.B. ein Webdienst gehackt wurde und dabei Mailadresse und Passworthash erbeutet wurde, dann kann man mit der bekannten Liste nach gleichen Hashwerten suchen und so an Passwörter in Klartext kommen, obwohl man die evtl. nicht erbeuten konnte.

Bl4cke4gle schrieb:
Wie viel Rechenpower hat der Angreifer zur Verfügung?

Kommt auf den Angreifer an. Theoretisch vom Raspberry Pi bis hin zum Botnetz ist alles möglich. Aber sagen wir so, Systeme mit vielen Grafikkarten waren lange vor den Kryptomininghypes schon in der Szene sehr beliebt

Salamimander · 10. Juni 2021

Die ganzen "Ich meiner Familie bin ich der IT-Spezi, weil ich Windows installieren kann" Meute tummelt sich hier, und palabert was von "Irgendwo ein Passwort eingeben"... Herrlich.

1.) Ist der Anbieter der Seite seriöser als ihr
2.) Wird LOKAL(!) ein Hash (!) erzeugt und dieser abgeglichen.
3.) Zwingt euch niemand.

Die meisten Passwortmanager machen nichts anderes. Enpass zB vergleicht die URLs (Gab es einen Leak auf Website XY) und hashes das Passwörter. Da heult auch niemand rum.

luckysh0t · 10. Juni 2021

Damien White schrieb:
Viele Zeichen, so viele wie möglich, was auch immer die Eingabemaske zulässt

Und da gibt es dann ganz tolle Seiten.Derren Eingabemaske lässt es zwar zu, aber das System dahinter kann es nicht und schneidet alle Stellen die zu viel sind ab.
Ohne den Nutzer darüber zu informieren - alles andere wäre ja zu schön.

Bl4cke4gle · 10. Juni 2021

Damien White schrieb:
Länge das Wichtigste

Ok, also wenn ich jetzt vier Wörter aneinanderhänge, könnte man über "Wörterbuchangriff" auch nicht so weit kommen (unter der Annahme, dass jemand ca 20000 Wörter kennt und 10000 davon ausreichend einfach und weder zu lang noch zu kurz sind. Also einfache Sprache ohne Fachvokabular; die deutsche Sprache enthält laut Duden sogar über 300000 Wörter).
Der ganze Ascii-Zeichensatz mit 95 darstellbaren Zeichen kommt aber bei kürzer Passwortlänge auch schon sehr weit.

Hito360 · 10. Juni 2021

bitte alle im Browser eingeloggten und Cookienutzenden HIER eure Kennwoerter eingeben! wasn das fuern Stuss?!

News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

Murray B.

Gast

ExtremBenutzer

Gast

Lt. Junior Grade

Fleet Admiral

Lt. Commander

Lt. Junior Grade

Captain

Banned

Rear Admiral

Cadet 4th Year

Banned

Lt. Commander

Fleet Admiral

Rear Admiral

Vice Admiral

Admiral

Commodore

Commander

Rear Admiral

Commander

Passend zum Thema