News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

[Damien White]

Hat aber zwei Schwachstellen...
1) Im Thread wurden Seiten mit maximaler Passwortlänge schon angesprochen

Dann muss man es auf die notwendige Länge kürzen und lässt den Überhang weg.

Ein Problem, welches alle Passwörter haben.

2) Wenn 2-3 Exemplare davon leaken und sich das ein Mensch anschaut (weil die z.B. alle mit derselben email-Adresse assoziiert sind und ein Skript eine hohe Anzahl identischer Zeichen in allen Passwörtern erkannt hat) kann dieser alle anderen Passwörter erraten

Das kann dir auch mit jedem Passwort geschehen und es bleibt trotz allem besser als die sonst so übliche Variante, dass Menschen das gleiche "sichere" Passwort auf allen Seiten verwenden.

Davon abgesehen ... Welcher Mensch scant alle Passwörter, die er da so finden kann? Und wer macht sich dann die Mühe zusätzlich möglichkeiten für einzelne Webseiten auszuprobieren ... um EIN Passwort zu erraten?

Kein Hacker interessiert sich für dich, da zählt die absolute Masse und keiner hackt so wie es Hollywood einem vorgaukelt ...

https://imgs.xkcd.com/comics/security.png

Ergänzung (10. Juni 2021)

Ok, also wenn ich jetzt vier Wörter aneinanderhänge, könnte man über "Wörterbuchangriff" auch nicht so weit kommen

O.o

Warum versuchst du krampfhaft Kompromisse zu finden um unsicherere Passwörter zu verwenden?

 

[mic_]

Wenn ihr der Seite zum Überprüfen nicht traut, dann schickt mir euer Passwort und ich werde es für euch sicher überprüfen lassen. Ihr könnt mir vertrauen, schließlich sind wir ja eine Community

 

[0x8100]

gute nachrichten! das sicherste passwort der welt ist immer noch sicher!

 

[luckysh0t]

Ich nehme einfach Pi als Kennwort.

 

[Red Sun]

Passwörter eintippen? Ich kenne meine Passwörter selber nicht, außer einem, Passwortmanager sei dank. Mehr als 16 Zeichen kryptischer Zahlen- und Buchstabenkombinationen + 2FA sollten ausreichen für die Sicherheit der wichtigsten Accounts.

 

[TheManneken]

Ich habe mal mit einem meiner ältesten Passwörter angefangen, von dem ich tatsächlich nicht weiß, wo das noch im Einsatz ist und das wurde anscheinend geleaked... 8 zufällige Kleinbuchstaben, ok, kann ich drauf verzichten.

Bei einem neueren Passwort, das ich genau zuordnen kann und bei dem ich kein Risiko sehe, war hingegen alles gut (13 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen).

 

[0x8100]

2.) Wird LOKAL(!) ein Hash (!) erzeugt und dieser abgeglichen.

Du hast schon gelesen, dass das über einen Hash funktioniert oder?

tja, da habe ich wohl schlechte nachrichten für dich...

@SV3N entgegen dem artikel wird bei mir kein hash sondern das passwort im klartext übertragen. aber selbst wenn: der anbieter kennt die beziehung hash <--> passwort, d.h. er weiss sowieso wer welches passwort angefragt hat.

 

[ComputerJunge]

Ich kann dir SupergenPass empfehlen. Ich benutze das selbst in Kombination KeePass. Damit generierst du ein Passwort aus einem (konfigurierbar zwei) Masterpasswort + Domain. Somit kommst du auf ein Passwort wie von dir empfohlen und du kannst es jederzeit wieder herstellen indem du dir nur das Generatorpasswort merken musst. Im Endeffekt ist es eine Hashfunktion mit Eingabe Masterpasswort + Domainname

Dieser Ansatz funktioniert aber doch nur so lange so elegant "einfach", wie das
Missverständnis, das beschriebene Masterpasswort != Keepass Master Key

 

[[wege]mini]

Ich kenne meine Passwörter selber nicht

Eine bessere "Sicherheit" gibt es natürlich nicht. Da kannst du selbst unter Folter nichts erzählen

Spaß beiseite.

Jeder muss mit seinen Passwörtern klar kommen und wer tatsächlich mehrere Hundert Passwörter braucht, tut mir auch aufrichtig (aus diversen Gründen) leid.

Toptip:

Leicht zu merkende Sätze, sind z.B. immer super.

Veganerriechennichtnachfisch. Oder Dertollstehengstbinimmernochich.

Super. Gerne auch noch mit Sonderzeichen und Zahlen.

mfg

 

[nullPtr]

entgegen dem artikel wird bei mir kein hash sondern das passwort im klartext übertragen.

"Ups". Ich bin mir sicher, es gibt eine ganz einfache Erklärung und alles ist gar nicht so schlimm.</ironie>

Daumen hoch fürs Überüfen!

 

[Marcel55]

"C0rr3cth0rs3b@tc0mput3rb@s3t3ryst@ble"

Das da oben ist ein Passwort, welches du dir extrem einfach merken kannst, welches für jede Seite einzigartig ist und welches so viele Zeichen aller Art besitzt, dass man es als "nahezu unknackbar" bezeichnen kann.

Es wird aber sehr viel Spaß machen, dieses Passwort mit einem Smartphone, einer Konsole oder anderen Geräten ohne richtige Tastatur einzugeben.
Dann lieber die Wörter normal schreiben, und irgendwo noch eine Pin oder so unterbringen, sollte letztendlich keinen großen Unterschied machen.

 

[DJMadMax]

Nach klar.."Passwort Prüfer"


Habe schon alle privaten und geschäftlichen Passwörter dort geprüft...alles super.../sarkasm=off

Gehts noch ?
Nett gemeint, aber nein. Einfach nein.

War auch das Erste, was mir durch den Kopf ging... wer sagt denn mit Sicherheit, dass das nicht auch nur einen weiteren Eintrag in einer Datenbank erzeugt?

Habe aber aus Spaß mal das Sysadmin-Passwort für Canon Digitaldrucker geprüft und siehe da, selbst das steht in der Datenbank

Ergänzung (10. Juni 2021)

Du musst dir im Endeffekt nur eine Eselsbrücke merken und eine Herangehensweise für das Ersetzen von Buchstaben durch Zeichen und Zahlen.

Das hilft dir alles nichts, wenn du auf immer mehr Seiten gezwungen wirst, Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen gleichermaßen zu verwenden.

Dann wiederum hast du aber eine Seite (ich glaube, es ist mein Simplytel-Zugang oder der meiner KFZ-Versicherung, keine Ahnung ), die dann richtig schlau sein will: "Das Sonderzeichen ist leider nicht zulässig, Sie dürfen nur aus folgenden Sonderzeichen wählen: blabla..."

Am Ende hilft nur ein zuverlässiger Passwortmanager. Ob das das eigene Gehirn ist, die Zettelwirtschaft unter der Tastatur oder eine Softwarelösung online/offline, das muss jeder für sich selbst entscheiden.

 

[Spike Py]

Nach klar.."Passwort Prüfer"


Habe schon alle privaten und geschäftlichen Passwörter dort geprüft...alles super.../sarkasm=off

Gehts noch ?
Nett gemeint, aber nein. Einfach nein.

Du hast schon gelesen, dass das über einen Hash funktioniert oder?
Außerdem testest du nur das Passwort und nicht den username oder was dazu gehört und ich hoffe stark du verwendest nicht überall das gleiche Passwort

 

[Damien White]

Es wird aber sehr viel Spaß machen, dieses Passwort mit einem Smartphone, einer Konsole oder anderen Geräten ohne richtige Tastatur einzugeben.
Dann lieber die Wörter normal schreiben, und irgendwo noch eine Pin oder so unterbringen, sollte letztendlich keinen großen Unterschied machen.

Es war nur ein Beispiel um zu erklären, wie man ein für Computer schwer zu knackendes aber für einen Menschen leicht zu merkendes Passwort erstellt ...

Ich weis, für den CB-Nutzer ist das unvorstellbar, dass da allgemeine Sachen geschrieben werden, da muss jeder krampfhaft versuchen das Ganze auf seine persönlichen Problemchen herunter zu brechen um dann anhand seiner individuellen Meinung zu argumentieren.

Wenn du mit weniger sicheren Passwörtern glücklich bist, schön für dich, interessiert nur keinen.

 

[Spike Py]

Ich nutze ebenfalls KeePass, trotzdem habe ich gerne noch Kontrolle darüber, wie meine Passwörter aussehen, um nicht darauf angewiesen zu sein.

Weiß gerade nicht ob man bei keepass passwörter generieren kann und festlegen kann welche zeichen enthalten sein dürfen aber dafür nutze ich unter linux pwgen wie folgt: 'pwgen -1Bcn 32 10'

 

[Hucken]

relativ wertlos, wenn nicht die Zugangsdaten komplett in der Liste stehen.
Somit ist es nur eine sehr sehr umfangreiche Bruteforce Wordlist, die durch die schiere Größe eher unbrauchbar ist. Zumal Bruteforce heute in den wenigstens Fällen überhaupt möglich ist.

 

[ovanix]

Was mich ärgert dass viele (alle?) deutsche Shops, Email Dienste etc. keine zwei Wege Authentifizierung anbieten. Bei T Online gibt es das nicht, bei Rebuy, Otto und co. ebenfalls nicht.
Mittlerweile habe ich viele Passwörter durch neue ersetzt doch da beginnt das Problem, nach einigen Wochen weiß ich nicht mehr ob es Groß oder Kleinbuchstabe ist, Zeichen ., oder gar keins. Es nervt nur noch.

 

[Rhoxx]

Und dann bieten heute noch einige Webseiten nur die Möglichkeit Passwörter mit weniger als 20 Zeichen zu nutzen. Erst die Tage hatte ich einen kleineren Onlineshop, der statt 20 Zeichen nur 14 Zeichen gespeichert hat. Nur durch ausprobieren konnte ich das herausfinden. Bei der Eingabe gab es keinen Hinweis auf maximal 14 Zeichen.

Wie weit soll es denn noch gehen? Die Maschinen wachsen Jahr für Jahr. in 10 Jahren sind vlt. 30-Buchstaben-lange PWs nicht mehr sicher und in 20min geknackt.
Ich finde, der Mensch sollte sich langsam Gedanken machen, sich als Authentifizierung/Zugangsberechtigung durch Schriftzeichen verabschieden, denn solange wir das Internet mit ebendiesen Zeichen täglich füttern, wächst die Datenbasis für Computer.

Eine Alternative? Wenn ich eine verlässliche Alternative wüsste, wär ich wohl gemachter Mann. Es wäre ja zumindest ein gutes Ziel für die Menschheit im digitalen Zeitalter. Vielleicht über Gesten, Fingerprints, intelligente Antworten? Was macht dich einzigartig? Position, Körper, Wissen, Stimme? Ein Passwort Passsign mit einzigartiger Verknüpfung von Symbolen, Gesten, Aktionen und Merkmalen vielleicht?

 

[SVΞN]

Das ist ein wichtiger Hinweis und sollte meiner Meinung nach im Artikel erwähnt werden @SV3N

Im Artikel steht direkt zu Beginn, dass es sich um eine 100 Gigabyte große TXT-Datei mit insgesamt mehr als 8,4 Milliarden gesammelten Passwörtern aus den unterschiedlichsten „Leaks“ handelt.

Liebe Grüße
Sven

 

[Jethro]

Was mich mal interessieren würde ist was nutzen eigentlich diese Listen bzw. wie kann ein Angreifer die überhaupt abarbeiten?
Ein Web Dienst müsste doch erkennen wenn von einer Quelle massiv viele Loginversuche kommen und dicht machen so das man doch gar nicht so viele Versuche unternehmen kann solche Listen durchzugehen.
Hab ich hier einen Denkfehler oder Verständnisproblem des Vorgangs?