Der EU-CON Blog

IT-Sec - Größter Passwortdiebstahl aller Zeiten

Datum: 17.01.2019

Mit 711 Millionen Passwörtern war das 2017 öffentlich gewordene Archiv

eines Spam-Versenders das bislang größte Datenleck seiner Art.
Dieser "Rekord" wurde nun am 17.01.2019 mit der sogenannten "Collection #1", die 773 Millionen Passwörter und Email Adressen enthält geknackt. Die alles entscheidende Frage ist natürlich:

Sind Sie betroffen?

Um die Frage zu beantworten, müssen Sie sich nicht selbst durch die Collection #1 suchen.

Der IT-Sicherheitsexperte Troy Hunt, langjähriger Mitarbeiter von Microsoft hat hierzu den Dienst ';--have i been pwned? https://haveibeenpwned.com ins Leben gerufen. Betroffene können hier sehr schnell und einfach ihre E-Mailadresse eingeben und herausfinden, ob ihre Mailadresse in diesem oder einem der anderen der zahlreichen Leaks der letzten Jahre aufgetaucht ist.

Erhalten Sie einen grünen Bestätigungsbildschirm nach einer Eingabe, brauchen Sie sich vorerst keine Sorgen zu machen:

Erhalten Sie einen roten Bestätigungsbildschirm nach einer Eingabe, scrollen Sie weiter runter, um genau zu erfahren, bei welchem Leak Ihre E-Mail-Adresse aufgetaucht ist: (Im Beispielfoto: Collection 1, Disqus Leak 2017, Exploit.Ln-Leak von 2016 & Tumblr-Leak von 2013).

Tauchen eine oder mehrere Ihrer Adressen hier auf, ist schnelles Handeln gefragt!

1.

Ändern Sie so schnell wie es geht Ihre Kennwörter! 

2.

Nutzen Sie ausschließlich sichere Kennwörter! 
(mehr als 8 Zeichen, inkl. Groß- und Kleinschreibung, Zahlen und Sonderzeichen

3.

Betreiben Sie ein professionelles Passwortmanagement mithilfe eines Passwortmanagers
(z.B.: Keepass2 (Open-Source - kostenfrei) https://keepass.info/ , oder Password-Depot (kostenpflichtig) https://www.password-depot.de.

Parallel zur eingegebenen E-Mail-Adresse, kann man auf https://haveibeenpwned.com auch nach Passwörtern suchen, um zu sehen, ob sich das eigene Kennwort bereits irgendwo in einem Leak befindet.

Ist es nicht risikoreich die eigenen Passwörter einzugeben?

Hierzu hat https://haveibeenpwned.com ein Verfahren entwickelt, bei dem die eingegebenen Passwörter geheim bleiben. Vereinfacht ausgedrückt wird bei Eingabe nicht Ihr eigentliches Kennwort übertragen, sondern lediglich die ersten 5 Zeichen davon. Die Webseite fragt dann alle ähnlichen Passwörter an und vergleicht diese dann im Browserfenster ohne Datenübertragung des eigentlich Kennworts.
Wen die Fachtermini HASH und k-Anonymity nicht abschrecken, kann hier mehr über das geniale Verfahren lernen:

https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity

Sollte ein Passwort bereits hier auftauchen, sollte man in jedem Fall dieses Passwort nicht mehr benutzen.

Es empfiehlt sich einen Passwordsafe zu nutzen, der auch die Passwörter generiert.

Fazit

Als Empfehlung, das Passwort "1234" taucht bereits insgesamt 1.256.907 mal in der Datensammlung auf und gilt immer noch als eine der beliebtesten Passwortkombinationen. Auf der Beliebtheitsskala ebenfalls weit oben finden sich Namenskürzel und Geburtsdaten (z.B. Peter Mustermann = PM01021977), klassische Kosenamen wie Schatzi, Mausi, Knuffi und gängige Namen für Haustiere, wie z.B. Rex, Bello und Hansi. Wählen Sie daher lieber ein komplexeres Passwort, deren Bestandteile nur für Sie einen Sinn ergeben.

Über den Autor

Maximilian Kindshofer

Maximilian Kindshofer