Nästan 8,5 miljarder lösenord läckte online. Här är varför det kanske inte är så illa som det verkar

När fler och fler delar av vårt dagliga liv flyttar från den verkliga världen till internet kan värdet av säkerhet inte överskattas. Varje ny innovation vi tar till oss – från Zoom till TikTok till det senaste videospelssystemet – kommer med ett användarnamn och lösenord som ansluter sig till våra dussintals andra användarnamn och lösenord, och oddsen är att varje enskild inloggning i en persons kort med lösenord förmodligen liknar de andra i åtminstone någon form eller form. Det är inte nödvändigtvis en dålig sak (om ditt lösenord är säkert, det vill säga) – trots allt är vanliga varianter av samma lösenord hur folk kommer ihåg sin inloggningsinformation.

Men om bara ett av dessa lösenord skulle läcka, är det möjligt att vart och ett av en persons lösenord kan äventyras som ett resultat. Föreställ dig vilket hot en läcka av 8,5 miljarder lösenord skulle utgöra. Det är vår nuvarande verklighet, och du kanske inte ens har hört talas om det. Hackare kallade det RockYou2021, och de få som rapporterade om det behandlade det som ett omvälvande säkerhetshot som vi aldrig har sett förut. Är detta en överreaktion? Var RockYou2021 verkligen så illa om ingen av oss ens hörde talas om det? Låt oss skilja sanningen från fiktionen.

RockYou2021: Vad hände?

När nyheten om RockYou2021 först kom i början av juni 2021, kallades den omedelbart "den största lösenordsläckan i internets historia", som vida överträffade den tidigare RockYou-läckan 2009 som inkluderade över 32 miljoner lösenord. Ursprungligen var RockYou2021 sägs inkludera 82 miljarder lösenord — i verkligheten är siffran ungefär 1/10 av det: 8,459 miljarder lösenord. För att vara tydlig, på över 250 gånger storleken på RockYou2009, är detta fortfarande ett anmärkningsvärt antal lösenord som ska läcka.

RockYou2021 lades upp som en 100 GB textfil på ett mycket populärt (namnlöst) onlineforum för hackare. Vart och ett av de nästan 8,5 miljarder lösenorden är mellan 6 och 20 tecken långt, med alla blanksteg och icke-ASCII-tecken borttagna från texten. Stora samlingar som dessa tillåter hackare och cyberbrottslingar att göra det som kallas "lösenordssprayning", vilket innebär att man försöker ett stort antal användarnamn och lösenord på mycket kort tid för att få tillgång till ett konto.

Hur RockYou2021 jämförs med lösenordsläckor från det förflutna

Några av de största lösenordsläckorna från det förflutna inkluderar det tidigare nämnda RockYou-dataintrånget från 2009, Compilation of Many Breaches (COMB) från februari 2021 och Breach Compilation från 2017. Lösenord i miljarder läckte i var och en av dessa intrång tillsammans, men de har alla en sak gemensamt (inklusive RockYou2021): De är faktiskt en samling av otaliga mindre läckor i ett stort dokument.

Med detta är RockYou2021 helt enkelt en enorm sammanställning av andra läckor, inklusive COMB – enbart detta februaribrott står för över 3 miljarder av RockYou2021s 8,5 miljarder lösenord. Detta gör det inte mindre av ett potentiellt hot, men det hjälper definitivt att skapa ett sammanhang till själva storleken på dessa läckor: Det visar sig att många av dessa enorma lösenordsintrång helt enkelt återanvänder tidigare information och inkluderar den i ny- namngivna läckor i ett försök att fluffa upp dem och få dem att verka mer hotfulla. Allt handlar om optik, och ett påstående som "8,5 miljarder lösenord" är avsett att generera buzz, även om nästan hälften eller mer av dessa 8,5 miljarder redan har läckt ut tidigare.

Vad läckan faktiskt består av

Vi vet att denna läcka består av många läckor från det förflutna, men hur är det med de andra miljarderna lösenorden? Var kom de ifrån? Som det visar sig, efter lite grundlig undersökning, är huvuddelen av RockYou2021 faktiskt bara en samling av många olika cracking-ordböcker. Dessa cracking ordböcker består av vanliga och lätta att gissa lösenord som används i lösenordssprayningsattacker. För att vara tydlig är dessa inte nödvändigtvis lösenord kopplade till någon specifik, utan snarare lösenord som ofta används av många olika konton.

Detta betyder att RockYou2021 i slutändan faktiskt inte är något nytt: det är ompaketerade läckor från det förflutna och knäckande ordböcker under ett nytt namn i ett försök att se mer hotfull ut än vad det faktiskt är. Det här är inte 8,5 miljarder lösenord som tagits från individer av skickliga hackare som tjuvar i natten, utan snarare en sammanställning av arbetet från andra hackare och cyberbrottslingar från det förflutna. Om det vore en film skulle det vara en återutgivning i utökad upplaga full av raderade scener.

Hur du förhindrar att dina lösenord läcker

Detta är inte att säga att RockYou2021 inte ska tas på allvar, speciellt om ett av dina enkla lösenord finns med i textfilen. Tack och lov är din bästa försvarslinje också den enklaste: Byt ditt lösenord så att det är ogenomträngligt. Att knäcka ordböcker och liknande är beroende av grundläggande, lätta att gissa lösenord som "Sommar2021!" eller "Lösenord123!" för att cyberbrottslingar ska få tillgång till alla konton de kan lägga vantarna på.

Om ditt lösenord är en komplex och omöjlig att gissa kombination av bokstäver, siffror och symboler – som lösenorden som tillhandahålls och lagras säkert av en lösenordshanterare – så behöver du förmodligen inte oroa dig för att bli utsatt för intrång när som helst snart. Din första försvarslinje mot hackare och cyberbrottslingar är också den bästa försvarslinjen: Byt ditt lösenord ofta, håll det komplext och lagra det säkert i din föredragna lösenordshanterare.