RockYou2021: 8,4 Milliarden Passwörter geleakt

In einem Hackerforum wurde eine 100 GB große Textdatei mit rund 82 Milliarden Einträgen geteilt.  Nach Recherchen von cybernews enthält die Datei, streicht man doppelte Einträge, 8.459.060.239 Passwörter. Ähnliche Dateien wurden bereits im Februar mit breachcomp2.0 (COMB) veröffentlicht. Diese Liste hatte 3,2 Millionen Einträge. Die neue Datensammlung enthält zumindest die COMB Einträge.

Ob die RockYou2021.txt benannte Datei valide Passwörter enthält, ist bisher unbekannt. Die Datenmenge ist einfach unüberschaubar groß. Ein Stapel mit 8,4 Milliarden Zetteln hätte ungefähr eine Höhe von 1000 km. Bisher ist jedoch davon auszugehen, dass zumindest die Passwörter, welche aus breachcomp2.0 übernommen wurden, echte Passwörter sind oder waren.

Bei cybernews arbeitet man derzeit daran, die Passwörter aus der RockYou2021-Datei in einen Passwort-Leak-Prüfer zu integrieren. Das Tool überträgt dabei nicht die eingegebenen Passwörter an den Server von cybernews, sondern nur eine Hash-Summe der Eingabe. Mit dieser Hash-Summe ist es möglich zu prüfen, ob ein eingegebenes Passwort mit einem Passwort in der Datenbank übereinstimmt. Hashfunktionen funktionieren nur in eine Richtung, aus der Hash-Summe von Daten lassen sich die Daten nicht rekonstruieren.

Der aktuelle Vorfall zeigt deutlich, dass eine Zwei-Faktor-Authentifizierung immer wichtiger wird, um die persönliche Datensicherheit im Internet zu gewährleisten. Mit den nun im Umlauf befindlichen Passwörtern aus dem aktuellen Leak und den Milliarden Accountnamen aus breachcomp2.0 könnte es Passwort-Wörterbuch-Angriffe gegen eine ungeheure Anzahl von Benutzerkonten geben.