News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

[Conqi]

Letzendlich ist es ja so, das selbst ein 128 stelliges Nasa würdiges Passwort nichts bringt wenn die Gegenstelle, der Server , die Database gehackt oder geleakt wird...

Wer wirklich sicher gehen will kommt wohl nicht dabei herum quasi wöchentlich all seine Passwörter zu refreshen.

Der Sinn eines Passwortmanagers ist nur sekundär, dass man sehr lange, sehr sichere Passwörter hat. Primär geht es erstmal darum, dass man überall ein einzigartiges Passwort hat.

Wenn der Dienst gehackt wird, ist man natürlich am Arsch, aber das ist man in jedem Fall. Das Passwort regelmäßig ändern bringt da gar nichts und sorgt nur dafür, dass man leichter zu erratende Passwörter wählt.

Nur zur klarstellung: Ich nehme an damit meinst du nicht ein öffentliches github repository.

Wobei selbst das eigentlich kein großes Problem wäre so lange man ein ausreichend langes Masterpasswort hat. Meins hat 20 Zeichen oder so und da per Bruteforce durch zu kommen dauert länger als ich (oder unser Sonnensystem) leben werde. So lange AES256 sicher ist ist es auch die Datenbank.

 

[TriggerThumb87]

Ich nehme für jeden Account ein anderes Passwort. Habe dafür für jeden Account ein lokal generiertes random PW was ich gar nicht mehr kenne. Verwaltet wird das mit einem PW-Manager dessen Datenfile nur auf lokalen Speichern von mir liegt. Dieses File ist mit einem langen, komplexen und einzigartigen Master-PW gesichert was nur ich kenne. Die Eingabe des Master-Passwort um die Datenbank zu öffnen geschieht in einem vor Keyloggin sicheren Aufruf+Biometrie.

Die meisten Leute sind nachlässlich mit dem Thema PW. Ich sage da nur selbst schuld!

Erschieß mich.
Ich hätte bei sowas Angst, dass ich auf den Kopf falle oder sonst was passiert, und ich mich nicht an ein "langes, komplexes und einzigartiges Master-PW" erinnern kann.

 

[Mr.Seymour Buds]

Wie jetzt - Passwort 123 ist nicht mehr sicher...

 

[1lluminate23]

Ich nutze immer und wo es geht 2Faktor Authentifizierung, oder meinen YubiKey. Ich finde, man müsste Unternehmen verpflichten 2Faktor Authentifizierung oder YubiKeys zu akzeptieren, bzw. die Funktion anzubieten, verbindlich! Wir leben in 2021, Passwörter sind nicht mehr sicher, schon gar nicht wenn ich dran denke wenn es so Passwörter wie admin12345 sind...

 

[eastcoast_pete]

Ist diese Liste ein Versuch, brute-force Hack Attacken (etwas) leichter zu machen? Ohne die zugehörigen Usernames ist die Liste zunächst Mal nichts anderes.
Ich warte immer noch auf einen PW Manager der Biometrische Erkennung mit einem Passwort verbindet; sowas (Fingerabdruck oder Iris Scan um den PW Manager zu öffnen, plus complexes PW) würde das Hacking zumindest deutlich schwerer machen. Der PW Manager könnte sich ja gegenüber Webkonten etc durch ein PGP-artigen Handshake, der mit dem User Konto assoziiert wird, zu erkennen geben, so daß die biometrischen Daten beim User bleiben.

Ergänzung (10. Juni 2021)

Wie jetzt - Passwort 123 ist nicht mehr sicher...

Steigst halt auf "Passwort234" um, und alles ist wieder gesichert (:

 

[DasGebuesch]

Man soll ernsthaft sein Passwort in die Suchleiste eingeben um zu überprüfen ob es geleakt wurde? LOL

 

[Spike Py]

Naja, bei denen ist dann nach 3 maliger Falscheingabe häufig auch schluss (zumindest war das bei meiner alten Bank früher so. Bei meiner jetztigen gibt's die limitierung nicht)

Ergänzung (10. Juni 2021)

Nur zur klarstellung: Ich nehme an damit meinst du nicht ein öffentliches github repository.

Ja klar, aber selbst wenn ... sicheres PW, dann ist selbst das kein problem

 

[calippo]

Ich hätte bei sowas Angst, dass ich auf den Kopf falle oder sonst was passiert, und ich mich nicht an ein "langes, komplexes und einzigartiges Master-PW" erinnern kann.

Für dieses Szenario muss man sich halt was überlegen. Ich habe einen versiegelten Briefumschlag mit Masterpasswort im Bankschließfach meiner Eltern.
Ausdrucken und Tief im Bücherschrank verstecken und einer Vertrauensperson davon erzählen sollte auch schon viel Sicherheit bringen.

 

[cmi777]

Erschieß mich.
Ich hätte bei sowas Angst, dass ich auf den Kopf falle oder sonst was passiert, und ich mich nicht an ein "langes, komplexes und einzigartiges Master-PW" erinnern kann.

Man sollte das Passwort für seinen Tresor natürlich nicht nur im Kopf haben, sondern idealerweise noch mal "anders" (offline, bei langfristig vertrauenswürdigen Personen) deponieren.

Das gute bei solchen Passwörtern ist ja, dass es nicht mal schlimm ist, wenn man eins "verliert", solange wie man zentrale Passwörter (bspw. Email-Adresse) "anders" weiß. Bei praktisch allen anderen Seiten kann man via Email-Adresse sein Passwort zurücksetzen.

 

[TriggerThumb87]

Ausdrucken und Tief im Bücherschrank verstecken

Ich lese nicht.

Aber gut zu wissen, dass Leute da Backupstrategien haben. Ich bin da etwas unsicher dabei.
Da hat man mal gute Versteckideen, man weiß aber nicht, ob die Unsinn sind.
Ich glaube ein zweifaktor-dezentralisierter Ansatz ist da nicht schlecht.

 

[DFFVB]

Also wer sich by HIBP die Dateien runterlädt (wenn der nicht abbricht), braucht ja auch erstmal nen Reader der mit der Größe umgehen kann, wird olle Troy Hunt nun auch die 100 GB anbieten? Hat Da einer ne Empfehlung für nen potenten Reader unter Windows?

 

[pseudopseudonym]

Mal ne andere doofe Frage: brauch man nicht 100GB RAM um ne 100GB .txt file öffnen zu können?

Das hängt vom Programm ab. Es ist überhaupt kein Problem, Zeile für Zeile zu lesen und die vorherigen Zeilen wieder ausm RAM zu schmeißen.

 

[PHuV]

Hier will ich erst mal das Programm sehen und erleben, was es schafft, mehrere hundert Gigabytes zu lesen, dann sich irgendwo anzumelden in einem performanten Rahmen. Gute Systeme blocken eh Anmeldungen nach wenigen Versuchen, und mit der Masse an Daten ist das schon fast normales Brute-Force.

 

[cremor]

Im Artikel steht direkt zu Beginn, dass es sich um eine 100 Gigabyte große TXT-Datei mit insgesamt mehr als 8,4 Milliarden gesammelten Passwörtern aus den unterschiedlichsten „Leaks“ handelt.

Mir ging es darum, dass das keinesfalls Milliarden von Passwörtern sind, sondern einfach nur Wörter. Und die Wikipedia bzw. Projekt Gutenberg kann man wohl kaum als "Leak" bezeichnen.

Mit den Worten von Troy Hunt aus dem verlinkten Twitter-Thread:

it’s not a list of real world passwords compromised in data breaches, it’s just a list of words and the vast majority have never been passwords

 

[pseudopseudonym]

@PHuV
Gut machbar ist's auf jeden Fall, wenn mal ein Webdienst seine Passwort-Hashes "geteilt" hat.

 

[Oli_P]

Steigst halt auf "Passwort234" um, und alles ist wieder gesichert (:

Also, das ist alles drin... Kleinbuchstaben, ein Großbuchstabe und Ziffern Hauste noch ein $ oder ein + oder so dahinter oder irgendwo dazwischen... Wenn man einen Passwortmanager wie Keepass nutzt, dann hat man auch nen Passwort-Generator... dann kriegste sowas wie hp#~lP$nw5qLiu&B@x$a

 

[PHuV]

@PHuV
Gut machbar ist's auf jeden Fall, wenn mal ein Webdienst seine Passwort-Hashes "geteilt" hat.

Klar, bezweifle ich ja nicht, aber der Aufwand ist sehr groß.

 

[pseudopseudonym]

@PHuV
Nö, brauchst nur etwas Zeit, die sich natürlich verringert, wenn du mehr Hardware ransetzt.

 

[Biedermeyer]

so wird es leider frueher od. spaeter immer ablaufen.
Daten nur fuer die eine Seite gibts nicht. die andere zieht immer irgendwann nach.

 

[olligo]

Als wenn ich jetzt meine Passwörter auf einer Seite dafür checken lasse, ja ne ist klar.
Damit die DB dann demnächst auch noch wieder gehackt wird, das Ding solltet ihr sofort aus dem Artikel löschen.