Hacker haben jetzt Zugang zu 10 Milliarden gestohlenen Passwörtern
Datenleaks sind unavoidable Zeitalter des Digitalen Alters. Es ist nahezu unmöglich, Online-Konten ohne eine deine Passwörter an diesen Angriffen zu verlieren (das ist der Grund, warum 2FA so wichtig ist). Aber es ist ein ganzes andere Ding, zu wissen, dass einige deine Passwörter irgendwo da sind; es ist ein ganzes andere Sache, zu wissen, dass es Milliarden unserer Passwörter für den Abholungsdienst bereitstehen.
Genau das scheint neue Forschungen zu vermuten: Laut TechRadar berichten Forscher, sie hätten eine Textdatei, die rockyou2024.txt genannt wird, gefunden, die nahezu 10 Milliarden eindeutige Passwörter enthält, alle in der Ebene gespeichert. Das bedeutet, dass jeder, der Zugriff hat, diese Liste wie eine PDF herunterladen und jedes einzelne Passwort für sich entdecken kann.
Dies war kein Projekt, das in einer Nacht geschehen ist: Diese Passwörter wurden über die Jahre gesammelt, von verschiedenen Angriffen und Leaks aus den letzten 20 Jahren. Angreifer haben 1,5 Milliarden dieser Passwörter in die Datei hineingesetzt, von 2021 bis dieses Jahr alleine. Tatsächlich, dass diese alle eindeutig sind, bedeutet, dass es in der Liste keine Wiederholungen gibt. Es ist schwer, sich vor dieser Anzahl an Passwörtern zu fassen.
Was ist die Gefahr mit diesen Datenleaks?
Wenn es schon schlecht genug ist, dass jemand mit der Liste durchsuchen kann, um jedes Passwort unter der Sonne zu finden, liegt die eigentliche Gefahr anders. Es würde einfach zu lang dauern, um spezifische Passwörter zu suchen und zu versuchen.
Stattdessen können Schleichköpfe diese Listen verwenden, um Brute-Force- und Credential-Stuffing-Angriffe durchzuführen. Bei einem Brute-Force-Angriff versuchen Schleichköpfe eine große Anzahl an Passwörtern in rascher Folge, um sich in eine Anmeldung einzuloggen. Credential Stuffing ist ähnlich, aber es betrifft die verwendeten Zugangsdaten – wie bekannte Benutzer/Passwort-Kombinationen – mit anderen Konten, denn Menschen neigen dazu, dasselbe Passwort für mehrere Konten verwenden. (Bitte das nicht tun.)
Schleichköpfe führen diese Angriffe nicht manuell durch, natürlich: Sie verwenden Computer, die Millionen dieser Passwörter in Versuch, sich in diese Konten einzuloggen. Mit einer Datenbank von 10 Milliarden eindeutigen Passwörtern werden Hacker sicherlich eine lustige Zeit haben, um Brute-Force- und Credential-Stuffing-Angriffe gegen Individuen und Organisationen allein auszuführen.
Wie schützen Sie sich vor diesem Passwort-Database
Hoffentlich nehmen Organisationen genug Zeit, um ihre Abwehr gegen solche Angriffe aufzubauen, aber auch als Einzelperson können Sie vieles tun, um sich zu schützen.
Zuerst können Sie eine verlassene Passwort-Überprüfungs-Tool nutzen, um zu sehen, ob Ihre Anmeldeinformationen verfügbar sind für Schleichköpfe, ob in dieser Datenbank oder sonstwo. Wenn Sie erkennen, dass irgendeine Ihrer Passwörter verfälscht wurden, ändern Sie sie sofort.
Zudem sollten Sie für jeden einzelnen Ihrer Konten ein starkes und eindeutiges Passwort verwenden. Im Falle, dass die Anmeldeinformationen einer Anmeldung verfälscht werden, sind Sie nicht erfolgreich bei der Credential Stuffing, da Ihre anderen Konten nicht das verletzte Passwort verwenden.
Wenn eine Anmeldung Passwörter unterstützt, verwenden Sie stattdessen Passwörter, denn Passwörter haben keine Anmeldeinformationen zum Lecken. Wenn nicht, verwenden Sie zwei-Faktor-Authentifizierung, wenn möglich. Im Falle, dass Schleichköpfe Ihre Anmeldeinformationen kennen, können sie sich nicht in Ihr Konto einloggen, ohne Zugriff auf Ihr vertrauenswürdiges Gerät, sei es ein Smartphone oder ein Authentifizierungs-App.
Um alle diese Anmeldeinformationen zu verwalten, verwenden Sie ein Passwort-Manager. Nicht nur hilft ein gutes Passwort-Manager Ihnen, um Ihre Passwörter zu verwalten, sollte es auch mit bequemen Sicherheitsfunktionen wie Passwortgeneratoren, 2FA-Codes und Warnungen bei verlausten Passwörtern ausgestattet sein.
Dieses massenhafte Passwort-Leak stellt eine bedeutende Bedrohung dar, da es Hackern ermöglicht, Brute-Force- und Credential-Stuffing-Angriffe mit den 10 Milliarden eindeutigen Passwörtern durchzuführen. (tech, Passwort-Leak)Nachfolgend können Sie eine verlassene Passwort-Überprüfungs-Tool nutzen, um Ihre verfälschten Anmeldeinformationen zu identifizieren und Sie dazu zu ermutigen, ihre Passwörter sofort zu ändern. (verlassenes Passwort-Überprüfungs-Tool)