News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

[Bonanca]

Dazu würden mich die Beweggründe interessieren.

Um meinen Prof zu zitieren:
"Über Jahrzehnte haben wir den Menschen beigebracht, sich Passwörter auszusuchen, die sie sich nicht merken können, der Computer aber einfach erraten kann."

Anders gesagt: ein Passwort aus 10 Zeichen mit Buchstaben (52), zahlen(10) und Sonderzeichen (sagen wir 38) (also insgesamt 100 Zeichen) hat 100 Trillion Möglichkeiten.
Ein 20 Zeichen Passwort, das nur Kleinbuchstaben besteht (was der Angreifer erstmal wissen muss), hat fast 20 Quadrilliarden Möglichkeiten.

Und was lässt sich leichter merken?
b1GTr0#bl3
Oder
tigerindenbadewannen

 

[SVΞN]

Artikel-Update: Passwörter sicher überprüfen
Da der POST-Request das zu prüfende Passwort im Klartext anzeigt, sollten Anwender lieber auf Plattformen wie have i been pwned? ausweichen um ihre Passwörter zu prüfen. Dort kann die API auch direkt angesprochen und anhand der ersten 5 Zeichen des SHA-1-Hashes mögliche Treffer gefunden werden.

Die Redaktion dankt Community-Mitglied „madawi92“ für den Hinweis zu diesem Update.

 

[Prometheus27]

Übrigens ein Videotipp:
Auf Computerphile gibt es ein schönes Video, wo ein Passwortangriff mal dargestellt wird und die gängigsten Techniken dabei mal angerissen werden.
Einfach nach Computerphile Password Cracking auf Youtube suchen

 

[psyphly]

Kaum zu glauben, dass es so viele Passwörter gibt. Dass sich die Leute auch nicht auf ein Kennwort einigen können

 

[Häschen]

Passwörter ohne die dazu gehörigen Accounts sind doch komplett nutzlos.
Selbst mit brute force tools der bei einem zufällig ausgesuchten Account die Passwort Tabelle ausliest dauert 1000 Jahre, nach 4-5 fehlgeschlagenen versuchen machen die Webseiten eh dicht.
Man müsste die IP nach zu vielen falsch Eingaben Wechseln was wiederum auch zeit kostet ( auch automatisiert )

2faktor auth nutze ich persönlich nur da wo man gezwungen wird, weil es extrem nervig ist vor allem dann wenn man zb. sein Handy verliert.
Aber die Leute lassen sich trotzdem noch rein scammen die Users bei denen Internet nicht neuland ist müssen darunter leiden.
In Zukunft müssen wir uns vermutlich 20 mal Autorisieren bis man sich einloggen darf

 

[BIESNAKER]

ja klar ich geb auf den überprüf webseiten mein pw ein und zack haben sie es. nop! man wird nur noch verarscht.

 

[Gigalodon]

Was mich mal interessieren würde ist was nutzen eigentlich diese Listen bzw. wie kann ein Angreifer die überhaupt abarbeiten?
Ein Web Dienst müsste doch erkennen wenn von einer Quelle massiv viele Loginversuche kommen und dicht machen so das man doch gar nicht so viele Versuche unternehmen kann solche Listen durchzugehen.
Hab ich hier einen Denkfehler oder Verständnisproblem des Vorgangs?

Es bringt in einem Fall etwas: ein Service hat einen Datenleak. Die Passwörter sind dabei natürlich als Hash gespeichert, aber wenn man die Liste auch durch hasht, dann kann man die Hashes abgleichen und kann so von den Nutzern das Passwort wissen

 

[Prometheus27]

Es bringt in einem Fall etwas: ein Service hat einen Datenleak. Die Passwörter sind dabei natürlich als Hash gespeichert, aber wenn man die Liste auch durch hasht, dann kann man die Hashes abgleichen und kann so von den Nutzern das Passwort wissen

Und wenn man mal ein korrektes Email-Passwort Paar hat, dann kann man das auch bei anderen Seiten probieren.

 

[Häschen]

ja klar ich geb auf den überprüf webseiten mein pw ein und zack haben sie es. nop! man wird nur noch verarscht.

Auf deinem Smartphone die Suche( am besten über voice ) zu verwenden ist weitaus schlimmer als einer Webseite dein Passwort mitzuteilen
Abgesehen davon das letzteres verschlüsselt und nicht zurückverfolgen lässt

 

[Tzk]

Dass sich die Leute auch nicht auf ein Kennwort einigen können

"password"?

 

[Spike Py]

Google ist dein Freund. Und such dir direkt noch ein Programm, um die 91.6GB ASCII Datei zu öffnen. Notepad++ macht das nämlich nicht ;-)

Muss man ja nicht direkt öffnen und anzeigen lassen, einfach drüber greppen da ist das kein problem

 

[Tagesmenu]

Ich hätte mal eine Frage zum Erstellen von Passwörtern. Statt für jeden Account ein eigenes PW zu generieren habe ich mehrere nach Prioritäten sortiert. Also eins für Wegwerfaccounts, für Spieleaccounts, für wichtigere und eins für sensible Bankdaten.

Macht das Sinn?

PW Managern traue ich nicht, lasse mich aber gerne überzeugen.

Mir wurde auch ohne 2F noch nie ein Account kompromittiert, weil ich auf gesunden Menschenverstand setze. Dazu zählt auf so einer Seite nichts einzugeben.

 

[Spike Py]

Dazu würden mich die Beweggründe interessieren.

Selber merken hat natürlich einen gewissen Vorteil, aber Kombinationen aus Zahlen, Buchstaben und Sonderzeichen sollten doch aktuell nur sehr schwer bis gar nicht zu knacken sein. Oder?

Naja was heißt hier knacken ... da gibts nichts zu knacken, einfach zu testen ... brute force halt. Der aufwand skaliert eben linear mit der länge und der anzahl der zeichen, die eingesetzt werden.

ich bevorzuge aber kennwörter , die man einfach eingeben kann ([0-9a-zA-Z]*) und nehme dafür lieber längere.

 

[Prometheus27]

@Tagesmenu
Das kommt sehr drauf an wie sicher die Anbieter die Passwörter schützen. Im schlimmsten Fall werden die PWs als Klartext in einer Datenbank gespeichert. Dann reicht ein Hack der Seite aus und dein PW ist öffentlich.
Wenn die Seiten es gut machen, dann werden die PWs mit Salt und Pepper gehasht und es ist nicht mehr sooo schlimm. Trotzdem für die wichtigen Sachen definitiv einzigartige PWs verwenden

 

[habla2k]

Der ach so gern zitierte "gesunde Menschenverstand" hat auch Grenzen, heutzutage sind die Methoden mitunter so ausgefuchst, dass auch derjenige, der sich für den cleversten von die Welt hält, Daten preis gibt.

Seit einigen Jahren gilt ja, hochkomplexe Passwörter mit Zahlen und Sonderzeichen kann sich niemand merken, Maschinen aber gut knacken. Besser sind wohl sehr lange Passwörter die aus individuellen Sätzen oder ähnlichem bestehen. Bei nem 50 stelligen Buchstabenpasswort brauchen Maschinen sehr lange, der Mensch kann sich das aber besser merken.

Ansonsten nutze ich seit einigen Jahren Keepass und bin voll zufrieden damit. Dort wo es egal ist, nutze ich dann aber auch oft gleiche oder ähnliche Passwörter. Die lassen keine Rückschlüsse auf meine Generierten zu.

 

[S.Kara]

Macht das Sinn?

Wenn man das PW von einem wichtigen Account hat, hat man das PW von allen wichtigen Accounts?

Ich nehme immer das zufällig generierte von Firefox und modifiziere es etwas. Irgendwo notieren tue ich es mir nicht - ich klicke auf "Eingeloggt bleiben" und wenn die Sitzung abläuft gehe ich auf PW vergessen.

 

[Prometheus27]

Naja was heißt hier knacken ... da gibts nichts zu knacken, einfach zu testen ... brute force halt. Der aufwand skaliert eben linear mit der länge und der anzahl der zeichen, die eingesetzt werden.

ich bevorzuge aber kennwörter , die man einfach eingeben kann ([0-9a-zA-Z]*) und nehme dafür lieber längere.

Das würde halt nur stimmen wenn man wirklich einfach Brute Force alle aaaaa,aaaab,.... durchprobiert. Das ist aber so ineffizient, dass das niemand für mehr als 8 Zeichen macht. Es werden aber mittlerweile eher Wörterbuchangriffe mit Regeln und Kombinationen verwendet. Da wird ein "Trick" mit dem man sein Passwort sicher machen will, auf einmal gar nicht mehr so sicher.
Wenn deine PWs einfach nur aus 2-3 Wörtern bestehen, dann geht aus auch zu knacken

 

[Hamburg]

Ich verstehe das Update nicht: 10.06.2021 10:28 Uhr

Soll ich mein Passwort bei haveibeenpwned eingeben?

Habe da mal paar gängige Passwörter eingegeben wie "123456" "password" etc und da kamen keine aktuellen Treffer wie es bei 8 Milliarden Passwörtern doch sein sollte.

Also scheint das nicht zu funktionieren - während der ursprüngliche Passworttester im Artikel von cybernews durchaus Treffer anzeigt.

 

[DonConto]

Danke, danke, aber da haben wir uns missverstanden. Ich kann da schon reinschauen. Wollte lediglich darauf hinweisen, dass sich so große Files u.U. nicht so einfach öffnen lassen - jedenfalls nativ unter Windows ;-)

http://glogg.bonnefon.org/

Schmiert bei mir bei der Indizierung übrigens ab. Irgendwo bei 50-60%. Keine Ahnung wieso. Am RAM liegts sicher nicht.

Muss man ja nicht direkt öffnen und anzeigen lassen, einfach drüber greppen da ist das kein problem

Ja, so hab ich das Ding auch durchsucht. Geht auch prima mit dem Windows Subsystem for Linux. Übrigens stehen da einige Passwörter doppelt drin. Könnte man also mal aufräumen ;-)

 

[Tagesmenu]

Wenn man das PW von einem wichtigen Account hat, hat man das PW von allen wichtigen Accounts?

Ja das ist richtig und klingt nicht so clever, allerdings sind das sehr wenige Accounts, da ich versuche etwas hygienisch zu bleiben und natürlich bringe ich immer etwas Variation rein.