Das grösste Datenleck der Geschichte
Rockyou2024 Eine Datei mit 10 Milliarden gestohlenen Zugangsdaten ist im Netz aufgetaucht. Was nun?
Gemessen an den Zahlen handelt es sich um das grösste Datenleck der Geschichte. In einem Hackerforum ist die Datei mit dem Namen «rockyou2024.txt» aufgetaucht, die fast 10 Milliarden Onlinezugangsdaten enthält – 9’948’575’739 Einträge, um exakt zu sein. Ein User namens Obama-Care hat sie am 4. Juli mit dem Kommentar hochgeladen, Weihnachten sei «dieses Jahr früher gekommen als gewöhnlich».
Die auf IT-Sicherheit spezialisierte News-Website Cybernews.comhat diese Datensammlung entdeckt und eine erste Analyse vorgenommen. Es handle sich um eine «Kompilation» aus Zugangsdaten aus alten und neuen Datenlecks. Bislang unbekannte Passwörter scheinen in «rockyou2024.txt» nicht enthalten zu sein. Es droht somit keine akute Gefahr, wie das für Nutzerinnen und Nutzer der Fall ist, wenn Hacker bei einer grossen Website «frische» Log-ins erbeuten konnten.
Laut Experten nahezu wertlos
Es gibt auch Sicherheitsexperten, die sogar noch weiter gehen und «rockyou2024.txt» als nahezu wertlos abtun. Lars Karlslund, ein dänischer IT-Spezialist, nennt die Kompilation auf Linkedin «minderwertigen Müll» – und bezieht diese Bezeichnung auch auf die sensationsheischende Berichterstattung, die teilweise über das Leak erfolgte.
Für Nutzerinnen und Nutzer bedeutet das, dass kein Handlungsbedarf besteht – zumindest, falls sie bis anhin einen sorgfältigen Umgang mit ihren Zugangsdaten gepflegt haben. Die grösste Gefahr solcher Leaks besteht im «Password Stuffing»: Diese Methode beruht auf der Beobachtung, dass viele User die gleiche Kombination aus E-Mail-Adresse und Passwort mehrfach benutzen. Die Hacker versuchen somit, sich mit den Log-ins aus dem Leak bei beliebigen anderen Websites und Onlinediensten unbefugt Zugang zu verschaffen.
Die Schutzmassnahme gegen das «Password Stuffing» liegt auf der Hand: Verwenden Sie jedes Passwort nur einmal. Da es schwierig bis unmöglich ist, sich die Passwörter zu merken, setzen Sie einen Passwortmanager ein, um die Zugangsdaten sicher zu speichern. Solche Programme – die bekanntesten ihrer Art sind 1Password, Dashlane, Lastpass, Keeper, Bitwarden und das Open-Source-Programm Keepass – generieren auch sichere Kennwörter, die sich kaum knacken lassen.
Auch die gängigen Browser (Chrome, Firefox, Safari, Microsoft Edge) speichern die Zugangsdaten und generieren sichere Kennwörter. Die meisten Experten ziehen den Passwortmanager der Speicherung im Browser vor, weil sie dort noch besser geschützt sind. Doch auch dort lassen sie sich bei manchen Browsern extra durch ein Masterpasswort oder durch das Betriebssystem schützen. Das heisst, dass Sie den Zugriff per Fingerabdruck, Gesichtserkennung oder über Ihren PIN-Code freigeben müssen.
Matthias Schüssler