Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

9,9 Milliarden Passwörter geleakt: "RockYou2024"-Liste als Goldgrube für Kriminelle

Seit der flächendeckenden Einführung von zusätzlichen Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung sind geleakte Passwörter zwar nicht mehr ganz zu dramatisch wie früher, dennoch stellen publik gewordene Name- und Kennword-Kombinationen ein ernsthaftes Sicherheitsrisiko dar. Viele Nutzer verwenden die identische Variante für viele Dienste, was effizientere Brute-Force-Angriffe möglich macht.

Nun ist die wahrscheinlich größte Sammlung geknackter Passwörter aller Zeiten in einem Hackerforum veröffentlicht worden. Unter dem Namen "RockYou2024" erhält man 9,9 Milliarden Klartext-Passwörter – zwar ohne den entsprechenden Account, doch als Munition für groß angelegte Attacken ausreichend.


Alte Daten und 1,5 Milliarden neue Einträge
Die RockYou-Liste ist ein alter Bekannter im Bereich der Cybersicherheit und macht bereits seit einigen Jahren mit derlei Aufstellungen von sich reden. Bei RockYou2024 handelt es sich daher auch nicht um ganz neue Daten, sondern um die schon früher kursierenden Leaks, ergänzt um rund 1,5 MIlliarden neuer Einträge aus Leaks zwischen 2021 und 2024. Letztere sind das eigentlich Interessante, da noch recht frischer Natur. Insgesamt sollen schon mehr als 4000 geknackte Datenbanken Futter bieten.


Obwohl viele Zugangsdaten inzwischen veraltet sind, kommt Hackern eine weitere Eigenart unbedarfter Anwender zugute: Sie trennen sich nicht gerne von bewährten Log-ins. Die beiden Faktoren "überall dasselbe Passwort" und "dieses jahrelang nicht ändern" sind für Angreifer eine sehr vorteilhafte Kombi, für Nutzer nicht.

Datenbank: Bin ich von Leaks betroffen?
Cybernews pflegt ein Online-Tool, welches nach Eingabe der Mail-Adresse oder Telefonnummer direkt ausspuckt, ob man Opfer eines Cyberangriffs wurde. In Kürze sollen alle neuen Einträge aus RockYou2024 mit in die Ergebnisse einfließen, das Team arbeitet derzeit am Import der Daten.

macOS- und iOS-Systemtools: Passwörter aus Leaks
Unter macOS und iOS haben viele sicherlich ebenfalls schon einmal die Warnung vor geleakten Passwörtern gesehen. Eine Übersicht gibt es in den Systemeinstellungen unter "Passwörter", dort stehen die "Sicherheitsempfehlungen" – eine oft ziemlich lange Liste an Passwörtern, welche in namhaften Datenbanken kursieren. Auch wenn die dort aufgeführten Accounts oft nicht geleakt sind, sondern nur das verwendete Kennwort vielfach Verwendung findet, ist dennoch Vorsicht geboten: Natürlich werden derlei Einträge bei Angriffen mit Priorität durchprobiert.

Die üblichen Tipps, sich zu schützen
Eigentlich sollten sich die einfachen, dennoch wirkungsvollen Tipps für mehr Passwort-Sicherheit längst herumgesprochen haben, die Realität sieht jedoch weiterhin oft anders aus. Folgenden Empfehlungen können nicht oft genug wiederholt werden:

  • Regelmäßig Kennwörter ändern, nicht erst als Reaktion auf Leaks
  • Keine einfach zu erratenden Standardpasswörter verwenden ("12345", Name der Katze, gebräuchliche Begriffe)
  • Passwortmanager einsetzen, die komplexe Passwörter zufällig erzeugen
  • Mehr-Faktor-Authentifizierung aktivieren – oder ganz auf Alternativen wie "Passkeys" setzen
10 Jahre Yosemite-Design
10 Jahre Yosemite-Design
Ohne Abo: Microsoft veröffentlicht Office 2024 für den Mac
Ohne Abo: Microsoft veröffentlicht Office 2024 ...
Leak: Der neue Mac mini M4 ist bei Amazon durchgesickert – samt Bildern und Spezifikation
Leak: Der neue Mac mini M4 ist bei Amazon durch...
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Visa sah Apple als "existenzielle Bedrohung" an
Visa sah Apple als "existenzielle Bedrohung" an
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde
iOS 18: RCS auf dem iPhone nutzen – Kompatibilität, Netzanbieter, Funktionen
iOS 18: RCS auf dem iPhone nutzen – Kompatibili...

Kommentare

sharif08.07.24 10:18
Genau aus diesem Grund, nutze ich bei jeden Dienst eMail Adresse verbergen von Apple, so hat jeder Dienst seine eigene Mail und das Passwort dazu erstellt dann der Passwort Manager. Ist nicht so schwer halbwegs sicher durch das Internet sich zu bewegen.
+22
PorterWagoner
PorterWagoner08.07.24 10:34
Ich habe 40 Jahre geübt und kann mir trotzdem immer noch kein Passwort merken. Endlich gibt es immer mehr Passkey, das ist meine Rettung
+8
Peter Eckel08.07.24 10:41
Die Liste scheint ohnehin vom fraglichem Wert zu sein:
Lars Karlslund (LinkedIn)
Some media is running with a story saying that "10B passwords leaked by hackers" - it's the new rockyou2024, and we're supposed to be terrified of new credential stuffing attacks "says researchers". I beg to differ, this is once again a FUD story.

The rockyou2024 file contains 10B lines - but that's just one metric - it doesn't factor in the "quality" of the contents. Since I maintain ntlm.pw (my free password lookup service with 8.7B hashes) I was curious how it stacks up against that.

Is the contents of ntlm.pw perfect? No, of course not. There are email-addresses, pure hex passwords, passwords that are already hashed (i.e. not cracked / not plaintext) etc. So some of the stuff online will never ever be a "real" password. Sorry for that, but I really haven't taken a proper look at it before. An analysis of my password file indicates that approximately 700M of the 8.7B is very likely not "real" passwords. So that brings the count down to 8B, as approximately 8% is junk.

But what about the rockyou2024 file? Well, quick analysis indicates that 1.5B of the 10B lines are pure HEX, which is then likely to be uncracked hashes. That's 15% we can just scrap right there. True, you might select to use a password which is just hex, but it's not 15% of the passwords out there.

Other curious content is very long lines - they might be a password and also they might not. But if we look at lines that are 32 characters or more, it's over 1B lines of rockyou2024. So 10% are just not "realistic" passwords.

Sorry, nothing to see here. It's just low effort garbage - both the "leaked" file and the reporting.

Edit: Additionally, in an ocean of 8B passwords, would 2B more even make a difference? I think not, unless it's in an offline HashCat style scenario. There just no way you can bruteforce even millions of passwords against an online service due to IP-blocking, iterations/sec etc.
Ceterum censeo librum facierum esse delendum.
+5
gritsch08.07.24 11:24
Regelmäßig Kennwörter ändern, nicht erst als Reaktion auf Leaks

Und genau das ist Blödsinn.
Ein starkes Passwort, das man nur bei einem Dienst verwendet, braucht man nicht "regelmäßig" ändern.

Eher sollte man den PIN bei seinem Smartphone ändern, denn den kann ja jemand abgeschaut oder abgefilmt haben (manchmal funktioniert FaceID/TouchID ja nicht).
+14
Dunnikin
Dunnikin08.07.24 12:02
Regelmäßig Kennwörter ändern, nicht erst als Reaktion auf Leaks

Genau das ist schlecht, wie von @gritsch bereits angemerkt.

Warum?

Weil dann eher einfache Passwörter verwendet werden. Wenn z. B. Mitarbeiter alle drei Monate das Passwort ändern müssen, weil man ja besonders sicher sein will, wird irgendwann halt 1234doof# als Passwort genommen, weil der ständige Wechsel nervt und man sich ständig ein neues, idealerweise sehr komplexes Passwort merken muß. Was eben kaum jemand macht.
+14
Frank Drebin
Frank Drebin08.07.24 13:05
Dank Apples E-Mail-Verbergen-Funktion bin ich wesentlich sicherer unterwegs. Was für eine großartige Sache. Dafür lohnt es sich die paar Cent für iCloud+ zu bezahlen.
+4
Nebula
Nebula08.07.24 13:07
Selbst das BSI empfiehlt seit 2020 nicht mehr regelmäßiges Ändern:
»Wir werden alle sterben« – Albert Einstein
+9
don.redhorse08.07.24 19:47
Passwd wechsel kam ja mal vom NIST, aber schon 2016 wurde die Empfehlung aufgehoben.

https://www.security-insider.de/nist-definiert-neue-passwort-regeln-a-564471/

Es kommt also auf die Länge und die Komplexität an. Passphrasen, wie Apple sie auch mal eine Zeitlang vorgeschlagen hat, sollte man vermeiden, oder eben sehr sehr lang machen. Also so etwas wie Schreibendentextmaximaleinmal. Ist zwar ein total sinnloses Geschreibsel, aber tatsächlich relativ schnell zu knacken. Gerade wenn gehashte Passwortlisten von irgendwelchen Webseiten geklaut werden.

Also für jeden Dienst, jede Seite ein eigenes Passwort, eher 32 als 16 Zeichen lang. Bestehend aus sinnlos aneinander gereihten Zeichen und Buchstaben. Einen Passwortmanager verwenden, weil kein Mensch kann sich diese Passwörter merken. Zudem hat man damit den Vorteil das man sehen kann wo man überhaupt überall ein Passwort vergeben hat. Ich bin seit einiger Zeit dabei die Schlüsselbundliste immer wieder durchzugucken und versuche mich von Webseiten abzumelden die ich nicht mehr nutze. Gar nicht mal so einfach...
+6
pocoloco08.07.24 20:47
Bestehend aus sinnlos aneinander gereihten Zeichen und Buchstaben
Nö.

Lang: Ja. Sinnlos? Nicht nötig. Hauptsache lang. 12-14 Zeichen sind aktuell schon OK

Viel wichtiger: Niemals (NIEMALS!) das gleiche Passwort für zwei unterschiedliche Dienste.

Einfache Regel: Feste Basis + Assoziation.
Für Amazon also: Guggu+Amaz
Für EBay: Guggu+Bay
Für Instagram: Guggu+Insta

Oder so ähnlich. Wer das jetzt noch mit ‚Guggu‘ umsetzt, hat es echt nicht besser verdient.
-2
don.redhorse08.07.24 20:57
pocoloco
Bestehend aus sinnlos aneinander gereihten Zeichen und Buchstaben
Nö.

Lang: Ja. Sinnlos? Nicht nötig. Hauptsache lang. 12-14 Zeochen sind aktuell schon OK

Viel wichtiger: Niemals (NIEMALS!) das gleiche Passwort für zwei unterschiedliche Dienste.

Einfache Regel: Feste Basis + Assoziation.
Für Amazon also: Guggu+Amaz
Für EBay: Guggu+Bay
Für Instagram: Guggu+Insta

Oder so ähnlich. Wer das jetzt noch mit ‚Guggu‘ umsetzt, hat es echt nicht besser verdient.
Das Thema ist durch. Genau solche Pasphrasen sind recht einfach zu knacken, wenn man den Hash hat. Es geht ja nicht darum das man ein Passwort einer Webseite, eines Dienstes direkt knackt, sondern das man auf irgendeinen Wege einbricht und dann die gesicherten Zugangsdaten klaut Die sind meist gehashed und saltet. Damit eigentlich unbrauchbar. Wenn man diese Hashes nun nimmt und rückwärts versucht zu knacken sind alle Passwörter die einfach aufgebaut sind die ersten die fallen. Danach kommen direkt die Passphrasen. Deswegen ist es wichtig Alle Zeichen zu nutzen die erlaubt sind und dass sind jetzt meist auch Umlaute und Sonderzeichen, je größer dieser Bereich ist desto sicherer ist ein Passwort. Den zweiten Faktor den man nutzen kann um ein Passwort sicher zu machen ist halt die Länge. Wobei eines das 12 Zeichen lang ist, aber den kompletten Unicode nutzen kann meist sicherer ist als ein 16 Zeichen langes das nur 7 Bit ASCII erlaubt.

Dazu gibt es auch eine ganze Menge Artikel und Beispiele und auch wie lang die durchschnittliche Dauer bis zum Rückrechnen des Hashes ist.
+5
Terendir09.08.24 09:37
PorterWagoner
Ich habe 40 Jahre geübt und kann mir trotzdem immer noch kein Passwort merken. Endlich gibt es immer mehr Passkey, das ist meine Rettung
Passkeys bringen aktuell (noch) keinerlei Mehrwert bei der Sicherheit. Denn jeder Dienst, der gegenwärtig Passkeys unterstützt, hat weiterhin auch den klassischen Passwort-Login als Fallback. Den kann man auch nicht abschalten, und 2FA wird meist pauschal auf jeden Login angewendet, auch via Passkey - womit dann der Vorteil der Bequemlichkeit flöten geht.

Wenn ein Angreifer also merkt, dass man Passkey nutzt, dann reicht es einfach den zu ignorieren und klassisch auf Nutzername + Passwort zu gehen.

Tut mir leid, ich bin ja selbst ein großer Fan von Passkeys. Aber aktuell ist ihr Potenzial fast völlig ungenutzt, dafür müssten die Anbieter es endlich ermöglichen, Passwörter auch komplett durch Passkeys zu *ersetzen* - nicht nur wie aktuell zu ergänzen. Oder zumindest müsste beim Passwort-Login (und auch nur dort) zwingend ein zweiter Faktor verlangt werden.
0
don.redhorse09.08.24 09:42
genau, schön das man Passkeys einrichten kann, aber solange das Passwort gleichrangig weiterhin aktiv ist, total sinnlos. Aber man muss ja damit anfangen. Es müsste halt im Userbereich der Seite die Möglichkeit geben Passwörter abzuschalten.

Ich denke das machen die Seitenbetreiber nicht, da sie den Supportaufwand scheuen.
Der einzige "Vorteil" von Passkeys derzeit ist jetzt, man hat zwei Wege in seinem Acc zu kommen, sollte man das passwd verbummelt haben, kann man noch Passkey nutzen..
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.