Nesten 8,5 milliarder passord ble lekket på nettet. Her er hvorfor det kanskje ikke er så ille som det ser ut til

Ettersom flere og flere komponenter i vårt daglige liv beveger seg fra den virkelige verden til internett, kan verdien av sikkerhet ikke overvurderes. Hver ny innovasjon vi omfavner – fra Zoom til TikTok til det nyeste videospillsystemet – kommer med et brukernavn og passord som føyer seg inn i rekken av våre dusinvis av andre brukernavn og passord, og oddsen er at hver enkelt pålogging i en persons stokk med passord sannsynligvis ligner de andre i det minste i en eller annen form. Det er ikke nødvendigvis en dårlig ting (hvis passordet ditt er sikkert, det vil si) – tross alt er vanlige varianter av det samme passordet hvordan folk husker påloggingsinformasjonen.

Men hvis bare ett av disse passordene skulle lekke, er det mulig at hvert enkelt av en persons passord kan bli kompromittert som et resultat. Tenk deg trusselen en lekkasje på 8,5 milliarder passord ville utgjøre. Det er vår nåværende virkelighet, og du har kanskje ikke engang hørt om det. Hackere kalte det RockYou2021, og de få som rapporterte om det behandlet det som en sikkerhetstrussel som forandrer spillet, som vi aldri har sett før. Er dette en overreaksjon? Var RockYou2021 virkelig så ille hvis ingen av oss hørte om det? La oss skille sannheten fra fiksjonen.

RockYou2021: Hva skjedde?

Da nyhetene om RockYou2021 først ble kjent i begynnelsen av juni 2021, ble den umiddelbart kalt «den største passordlekkasjen i historien til internett», og langt overgår den tidligere RockYou-lekkasjen fra 2009 som inkluderte over 32 millioner passord. Opprinnelig var RockYou2021 sies å inkludere 82 milliarder passord – i virkeligheten er tallet omtrent 1/10 av det: 8,459 milliarder passord. For å være klar, på over 250 ganger størrelsen på RockYou2009, er dette fortsatt et bemerkelsesverdig antall passord som skal lekkes.

RockYou2021 ble lagt ut som en 100 GB tekstfil på et veldig populært (uten navn) nettforum for hackere. Hvert av de nesten 8,5 milliarder passordene er mellom 6 og 20 tegn lange, med alle mellomrom og ikke-ASCII-tegn fjernet fra teksten. Store samlinger som disse gjør det mulig for hackere og nettkriminelle å gjøre det som er kjent som "passordspraying", som innebærer å prøve et stort antall brukernavn og passord på svært kort tid for å få tilgang til en konto.

Hvordan RockYou2021 sammenligner med passordlekkasjer fra fortiden

Noen av de største passordlekkasjene fra fortiden inkluderer det nevnte RockYou-databruddet fra 2009, Compilation of Many Breaches (COMB) fra februar 2021 og Breach Compilation fra 2017. Passord i milliardklassen ble lekket i hvert av disse bruddene til sammen, men de har alle én ting til felles (inkludert RockYou2021): De er faktisk en samling av utallige mindre lekkasjer i ett stort dokument.

Med dette er RockYou2021 rett og slett en enorm samling av andre lekkasjer, COMB inkludert – dette februarbruddet alene står for over 3 milliarder av RockYou2021s 8,5 milliarder passord. Dette gjør det ikke mindre av en potensiell trussel, men det hjelper definitivt med å bringe litt kontekst til selve størrelsen på disse lekkasjene: Som det viser seg, gjenbruker mange av disse enorme passordbruddene ganske enkelt tidligere informasjon og inkluderer den i ny- navngitte lekkasjer i et forsøk på å lufte dem opp og få dem til å virke mer truende. Alt handler om optikk, og en påstand som "8,5 milliarder passord" er bestemt til å generere buzz, selv om nesten halvparten eller mer av disse 8,5 milliardene allerede har blitt lekket i det siste.

Hva lekkasjen faktisk består av

Vi vet at denne lekkasjen består av mange lekkasjer fra fortiden, men hva med de andre milliarder av passord? Hvor kom de fra? Som det viser seg, etter noen grundige undersøkelser, er hoveddelen av RockYou2021 faktisk bare en samling av mange forskjellige cracking-ordbøker. Disse cracking-ordbøkene består av ofte brukte og enkle å gjette passord som brukes i passordsprøyteangrep. For å være tydelig, dette er ikke nødvendigvis passord knyttet til noen spesifikke, men snarere passord som ofte brukes av mange forskjellige kontoer.

Dette betyr at RockYou2021 til syvende og sist ikke er noe nytt: Det er ompakket lekkasjer fra fortiden og knekker ordbøker under et nytt navn i et forsøk på å se mer truende ut enn det faktisk er. Dette er ikke 8,5 milliarder passord tatt fra enkeltpersoner av dyktige hackere som tyver om natten, men snarere en samling av arbeidet til andre hackere og nettkriminelle fra fortiden. Hvis det var en film, ville det vært en utvidet utgave full av slettede scener.

Slik forhindrer du at passordene dine lekker

Dette er ikke å si at RockYou2021 ikke bør tas på alvor, spesielt hvis et av dine enkle passord er inkludert i tekstfilen. Heldigvis er din beste forsvarslinje også den enkleste: Endre passordet ditt slik at det er ugjennomtrengelig. Å knekke ordbøker og lignende avhenger av grunnleggende passord som er enkle å gjette, som "Sommer2021!" eller "Passord123!" for at nettkriminelle skal få tilgang til alle kontoer de kan få tak i.

Hvis passordet ditt er en kompleks og umulig å gjette kombinasjon av bokstaver, tall og symboler – som passordene som er gitt og lagret sikkert av en passordbehandler – så trenger du sannsynligvis ikke å bekymre deg for å bli kompromittert når som helst snart. Din første forsvarslinje mot hackere og nettkriminelle er også den beste forsvarslinjen: Endre passordet ditt ofte, hold det komplekst og oppbevar det sikkert i din foretrukne passordbehandling.