Fast 8,5 Milliarden Passwörter wurden online geleakt. Hier ist, warum es vielleicht nicht so schlimm ist, wie es scheint

Da immer mehr Komponenten unseres täglichen Lebens von der realen Welt ins Internet verlagert werden, kann der Wert der Sicherheit nicht hoch genug eingeschätzt werden. Jede neue Innovation, die wir annehmen – von Zoom über TikTok bis hin zum neuesten Videospielsystem – kommt mit einem Benutzernamen und Passwort, das sich in die Reihen unserer Dutzenden anderer Benutzernamen und Passwörter einreiht, und die Chancen stehen gut, dass wahrscheinlich jeder einzelne Login in den Passwörterstapel einer Person erfolgt ähnelt den anderen zumindest in irgendeiner Form. Es ist nicht unbedingt eine schlechte Sache (wenn Ihr Passwort sicher ist) – schließlich erinnern sich die Leute durch häufige Variationen desselben Passworts an ihre Anmeldeinformationen.

Aber wenn nur eines dieser Passwörter preisgegeben wird, ist es möglich, dass dadurch jedes einzelne Passwort einer Person kompromittiert wird. Stellen Sie sich die Bedrohung vor, die ein Leck von 8,5 Milliarden Passwörtern darstellen würde. Es ist unsere aktuelle Realität, und Sie haben vielleicht noch nicht einmal davon gehört. Hacker nannten es RockYou2021, und die wenigen, die darüber berichteten, behandelten es wie eine bahnbrechende Sicherheitsbedrohung, wie wir sie noch nie zuvor gesehen haben. Ist das eine Überreaktion? War RockYou2021 wirklich so schlimm, wenn keiner von uns überhaupt davon gehört hat? Trennen wir die Wahrheit von der Fiktion.

RockYou2021: Was ist passiert?

Als die Nachricht von RockYou2021 Anfang Juni 2021 zum ersten Mal bekannt wurde, wurde es sofort als „das größte Passwortleck in der Geschichte des Internets“ bezeichnet und übertraf damit das frühere RockYou-Leck von 2009, das über 32 Millionen Passwörter umfasste, bei weitem. Ursprünglich war RockYou2021 soll 82 Milliarden Passwörter enthalten – in Wirklichkeit ist die Zahl etwa 1/10 davon: 8,459 Milliarden Passwörter Um es klar zu sagen, bei über 250-mal der Größe von RockYou2009 ist dies immer noch eine bemerkenswerte Anzahl von Passwörtern, die durchgesickert sind.

RockYou2021 wurde als 100 GB große Textdatei in einem sehr beliebten (unbenannten) Online-Forum für Hacker gepostet. Jedes der fast 8,5 Milliarden Passwörter ist zwischen 6 und 20 Zeichen lang, wobei alle Leerzeichen und Nicht-ASCII-Zeichen aus dem Text entfernt wurden. Große Sammlungen wie diese ermöglichen Hackern und Cyberkriminellen das sogenannte „Password Spraying“, bei dem in sehr kurzer Zeit eine große Anzahl von Benutzernamen und Passwörtern ausprobiert werden, um Zugang zu einem Konto zu erhalten.

Wie RockYou2021 im Vergleich zu Passwortlecks der Vergangenheit abschneidet

Einige der größten Passwortlecks der Vergangenheit sind die oben erwähnte RockYou-Datenverletzung von 2009, die Compilation of Many Breaches (COMB) vom Februar 2021 und die Breach Compilation von 2017. Bei jeder dieser Verletzungen zusammen wurden Passwörter in Milliardenhöhe geleakt, aber Sie alle haben eines gemeinsam (einschließlich RockYou2021): Sie sind eigentlich eine Sammlung unzähliger kleinerer Lecks, die in einem großen Dokument zusammengefasst sind.

Damit ist RockYou2021 einfach eine enorme Zusammenstellung anderer Leaks, einschließlich COMB – allein diese Verletzung im Februar macht über 3 Milliarden der 8,5 Milliarden Passwörter von RockYou2021 aus. Das macht es nicht weniger zu einer potenziellen Bedrohung, aber es trägt definitiv dazu bei, die schiere Größe dieser Lecks in einen Kontext zu stellen: Wie sich herausstellt, verwenden viele dieser enormen Passwortverletzungen einfach vergangene Informationen wieder und fügen sie in neue benannte Lecks, um sie aufzulockern und bedrohlicher erscheinen zu lassen. Es geht nur um Optik, und eine Behauptung wie „8,5 Milliarden Passwörter“ ist dazu bestimmt, Aufsehen zu erregen, auch wenn fast die Hälfte oder mehr dieser 8,5 Milliarden bereits in der Vergangenheit geleakt wurden.

Woraus das Leck tatsächlich besteht

Wir wissen, dass dieses Leck aus vielen Lecks der Vergangenheit besteht, aber was ist mit den anderen Milliarden von Passwörtern? Wo kommst du her? Wie sich nach einigen gründlichen Nachforschungen herausstellt, ist der Großteil von RockYou2021 eigentlich nur eine Sammlung vieler verschiedener knackender Wörterbücher. Diese Crack-Wörterbücher bestehen aus häufig verwendeten und leicht zu erratenden Passwörtern, die bei Passwort-Spraying-Angriffen verwendet werden. Um es klar zu sagen, dies sind nicht unbedingt Passwörter, die an eine bestimmte Person gebunden sind, sondern Passwörter, die häufig von vielen verschiedenen Konten verwendet werden.

Das bedeutet, dass RockYou2021 letztlich nichts Neues ist: Es besteht aus neu verpackten Leaks der Vergangenheit und dem Knacken von Wörterbüchern unter einem neuen Namen, um zu versuchen, bedrohlicher auszusehen, als es tatsächlich ist. Dies sind keine 8,5 Milliarden Passwörter, die Einzelpersonen von erfahrenen Hackern wie Dieben in der Nacht abgenommen wurden, sondern eher eine Zusammenstellung der Arbeit anderer Hacker und Cyberkrimineller der Vergangenheit. Wenn es ein Film wäre, wäre es eine Neuveröffentlichung in Extended Edition, vollgestopft mit gelöschten Szenen.

So verhindern Sie, dass Ihre Passwörter lecken

Das soll nicht heißen, dass RockYou2021 nicht ernst genommen werden sollte, insbesondere wenn eines Ihrer einfachen Passwörter in der Textdatei enthalten ist. Zum Glück ist Ihre beste Verteidigungslinie auch die einfachste: Ändern Sie Ihr Passwort, damit es undurchdringlich ist. Das Knacken von Wörterbüchern und dergleichen hängt von einfachen, leicht zu erratenden Passwörtern wie „Sommer2021!“ ab. oder „Passwort123!“ damit Cyberkriminelle Zugang zu allen Konten erhalten, die sie in die Finger bekommen können.

Wenn Ihr Passwort eine komplexe und unmöglich zu erratende Kombination aus Buchstaben, Zahlen und Symbolen ist – wie die Passwörter, die von einem Passwort-Manager bereitgestellt und sicher gespeichert werden – dann müssen Sie sich wahrscheinlich keine Sorgen machen, dass es in absehbarer Zeit kompromittiert wird. Ihre erste Verteidigungslinie gegen Hacker und Cyberkriminelle ist auch die beste Verteidigungslinie: Ändern Sie Ihr Passwort häufig, halten Sie es komplex und speichern Sie es sicher in Ihrem bevorzugten Passwort-Manager.