Hacker haben mit knapp 10 Milliarden (9.948.575.739 um exakt zu sein) einzigartigen Passworten eine gigantische Passwortsammlung in einem Hackerforum veröffentlicht, wie Cybernews.com am 4. Juli 2024 berichtete. Bisheriger „Rekord“ war eine 2021 aufgetauchte Sammlung mit etwa 8,4 Mrd. Passworten unter der Bezeichnung „RockYou2021“. Der nun als „RockYou2024“ bekannt gewordene Leak ist damit die größte Sammlung gestohlener Passworte in der Geschichte. Die Sammlung besteht offenbar aus Daten, die im Rahmen früherer und aktueller Datenschutzverletzungen erbeutet wurden.
Nach Einschätzung des Forschungsteams ergibt sich damit eine ganz konkrete Bedrohung durch sog. „Credential Stuffing-Angriffe“, wodurch insbesondere Daten von Menschen gefährdet sind, die in mehreren Online-Diensten dasselbe Passwort (wieder)verwenden.
Bei einem Credential Stuffing-Angriff hat der Angreifer Benutzerdaten („Credentials“) von einem Onlinedienst erbeutet und spekuliert darauf, dass der Benutzer dieselben Daten (also bspw. das Passwort) auch bei anderen Diensten verwendet. Es handelt sich hierbei also um eine technisch relativ einfache, aber beliebte und leider durchaus erfolgversprechende Methode.
Zudem kann eine solch große Sammlung „hervorragend“ genutz werden, um buchstäblich jedes System anzugreifen, das nicht hinreichend gegen Brute Force-Angriffe („Brute Force“ = „rohe Gewalt“) geschützt ist. Darunter fallen viele private Systeme wie Überwachungskameras genau so wie manche Banken, Social Media Plattformen oder Industrieanlagen.
Wie kann man sich vor Angriffen auf Basis von RockYou schützen?
- Verwenden Sie starke, eindeutig Passworte (12 Zeichen sind das absolute Minimum, keine sinnvollen Worte).
- Passworte nur einmal verwenden, jeder Login muss ein eigenes Passwort haben.
- Wo immer dies technisch möglich ist, 2-Faktor-Authentifizierung aktivieren. Hierbei sind sowohl one-Time-Passworte über eine App (hierfür gibt es eine Vielzahl, oft kostenloser Apps) oder Hardware-Tokens wie YubiKey nutzbar.
- Verwenden Sie Passwort-Manager-Software, um sichere Passwörter zu erstellen und zu speichern.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.
