Eine gigantisch lange Liste gehackter Passwörter sorgt für Beunruhigung. "RockYou2021" enthält über 8 Milliarden gestohlener Passwörter. Das wahre Ausmaß der im Internet kursierenden Textdatei ist noch viel schlimmer.
Im Darknet kann man seit Jahren schon Listen mit gestohlenen Logindaten zu Konten wie Amazon, Ebay, Hotmail oder anderen Shopping- oder sonstigen Diensten kaufen. Die Mailadressen werden dann mit Spam zugeschüttet. Irgendjemand wird schon so unvorsichtig sein, auf einen Link zu klicken oder den Dateianhang zu öffnen, so das Kalkül dieser Schrotflinktentaktik. Solche Listen werden von den unbekannten Urhebern sorgsam gepflegt und regelmäßig um neue Datensätze erweitert. Die Passwortliste "RockYou" enthielt vor rund zehn Jahren rund 30 Millionen Codes. Sie ist vor kurzem aber schlagartig auf 8,5 Milliarden gehackte Passwörter gewachsen, berichten IT-Sicherheitsexperten. Und sie schlagen Alarm.
In vielen Fällen dürften die Hacker zu den geknackten Passwörtern auch die Konto-Benutzernamen und Mailadressen haben. Die Haustüre steht damit einladend weit offen für Einbrüche und Manipulationen. Wer beispielsweise eine Mail eines ihm gut bekannten Absenders erhält, im Text aber eine untypisch Ansprache (oft nur "Hallo, …") und/oder ein ungewöhnliche Aufforderung steht, sollte misstrauisch werden: Das Mailkonto könnte gehackt sein, die Mail gar nicht vom doch so gut bekannten Freund oder bekannter Freundin stammen. Hacker, die solchen Vertrauensverhältnisse kennen und ausnützen, könnten darauf zählen, dass ihre Cyberangriffe viel erfolgreicher sind. Fachbegriff einer solchen Methode: Social Engineering.
Wer auch immer hinter "RockYou" steckt, die Urheber der kriminellen Passwortsammlung prahlen mit ihrem Erfolg. Angeblich wollen sie sogar 82 Milliarden Passwörter zusammengetragen haben, wie sie selbst betonen.
Was Nutzer jetzt tun sollten angesichts dieser gigantisch langen Liste von 8,5 Milliarden gestohlener Passwörter, die auf einer 100 GB-großen Textdatei im Internet kursiert:
- Die eigene Mailadresse überprüfen, ob sie auf irgendeiner der zahlreichen von Hackern geführten Liste auftaucht und welche damit im Zusammenhang stehenden persönlichen Daten gesammelt wurden. Das geht am besten beim Identity Leak Checker des Hasso-Plattner-Instituts
- Vergebene Passwörter bei einem auf Kompromittierungen spezialisierten Dienst überprüfen. Beispielsweise bei haveibeenpwned.com.
Tipp: Viele IT-Sicherheitsprodukte schützen Rechner nicht nur vor Viren und Trojanern, sondern sie führen die beiden oben genannten Aufgaben automatisch durch und benachrichtigen Nutzer, wenn ihre Daten in irgendwelchen Listen von Hackern geführt werden. Einen solchen automatischen Indentitätsschutz bietet beispielsweise die Security-Suite Bullguard Premium Protection an.
Bildquelle: HPI/Screenshot