Brisanter Fund, den ein Sicherheitsforscher gerade gemacht hat. Eine Datenbank im Dark Net enthält die unverschlüsselten Zugangsdaten von 1,4 Milliarden Online-Konten.
Anzeige
Sicherheitsforscher Julio Casa von 4iQ hat den Fall im Artikel 1.4 Billion Clear Text Credentials Discovered in a Single Database veröffentlicht. 4iQ scant täglich Tausende von Websites im Dark Web, Hacker-Foren und Marktplätze in Untergrundnetzen auf gestohlene Anmeldeinformationen, durchgesickerte persönliche Informationen und vertrauliche Dokumente und warnt Personen und Unternehmen, wenn Informationen kompromittiert wurden.
Bei einem dieser Scans stießen die Sicherheitsforscher dann am 5. Dezember 2017 auf den Dump einer Datenbank mit den 1,4 Milliarden Datensätzen. Es handelt sich um die größte Datenbank mit solchen Informationen, die bisher gefunden wurde (etwa zwei Mal größer als die vorhergehende größte Datenbasis, die Exploit.in Combo-Liste, die 797 Millionen Datensätze enthielt.
(Datensätze, Quelle, zum Vergrößern klicken)
Die Datensätze stammen aus 252 Angriffen und waren größtenteils bereits bekannt. 133 neue Datenleaks waren allerdings hinzu gefügt worden. Bisher waren allerdings ca. 14 % dieser Daten nur in verschlüsselter Form bekannt. Die jetzt entdeckte Datenbank enthält die Zugangsdaten nicht nur in unverschlüsselter Form, sondern ermöglicht die Suche über Benutzernamen.
Anzeige
Die Datenbank wurde am 29.11.2017 mit dem letzten Datensatz aktualisiert. Stichproben der Sicherheitsforscher ergaben, dass die meisten der Datensätze gültige Zugangsdaten enthielten. Allerdings offenbart die Datenbank auch einen sehr schludrigen Umgang mit Zugangsdaten. Die Suche nach "admin", "administrator" und "root" lieferte in wenigen Sekunden 226.631 Passwörter von admin-Benutzern. Folgende Abbildung enthält die Top-Kennwörter der Datenbank. (via)
(Passwort-Hitliste, Quelle, zum Vergrößern klicken)
Anzeige
Die Hitliste ist (leider) echt ein Brüller!
Aber seltsam ist doch das 123456aA nicht dabei ist, das ist doch das non plus Ultra Passwort Zahlenkombination inklusive kleinen und großen Buchstaben ;)
Cool schade das die keine Email Adresse mit angeben wo man im Fall der Fälle mal nach fragen kann wenn einem das Passwort nicht mehr einfällt.
Also ein bekannter von mir hat vor 2 Jahren einen Herzinfarkt gehabt. halbes Jahr Wachkoma dann halbseitige Lähmung kompletter Ausfall des Sprachzentrums, seine Frau hatte mich dann mal Kontaktiert und zum Glück hatte ich noch ein älteres Backup von ihm wo wir Passwörter auslesen konnten ohne diese hätte ich es verdammt schwer gehabt.
Wie macht ihr denn das so mit euren Passwörtern notiert ihr die noch mal irgendwo oder habt ihr echt alle Passwörter im Kopf oder in einem USB Safe?
Kommt wohl auch darauf an, um wie viele Passwörter es sich handelt.
Ich arbeite noch mit der alten Methode bei ca. 35 verschiedenen Accounts, Webseiten, Onlineshops….
Habe je eine Karteikarte auf denen gleich weitere wichtige Daten wie Passwortdatum, Kundennummer, Serverdaten, Besonderheiten … notiert werden. Auf dem Rechner speichere ich dies nicht gesondert.
Muss dazu noch sagen, dass nur wenige täglich bei mir gebraucht werden. Wichtig ist auch die Passwörter je nach Prägnanz zu wechseln.
KeePass, allerdings nicht mit dem Browser verknüpft, nur zum nachgucken.
Überall verschiedene Passworte, wie es sich gehört… nur teilweise die "salted"-Methode, meist bei unwichtigeren Accounts.
Und nirgends wird etwas mit Passwörter in die Cloud geschickt…
Aluhut halt ;-)
KeePass.
Genau.
Leider wechseln die mit jedem Minor-Upgrade gleich die ganze Oberfläche.
Da verwechselst du etwas, glaube ich.
Das "Original" (https://keepass.info/) hat seit … kA immer die gleiche Oberfläche, es gibt aber einige Forks oder Klone:
https://de.wikipedia.org/wiki/KeePass#Andere_Versionen
Ich stolpere da eben immer wieder drüber, hab seit Jahren so ein kleines Schwarzes Büchlein wo ich all meine Passworte eintrage und mit welchen eMail Adressen sie verbunden sind.
Dann hab ich noch einen USB Stick wo ich alles in Text Dateien speichere ich hab da mal was über den Yubikey Neo gelesen was ich sehr interessant fand http://www.zeit.de/digital/internet/2015-02/yubikey-token-passwoerter-keepass-test bin seit dem immer am überlegen ob das nicht eine Nützliche Alternative wäre, Passwörter speichere ich höchst ungern in einen Browser ein vor allem Traue ich Microsoft keinen Meter mehr.
Die Stadt München um so mehr.
Das kleine, schwarze Büchlein existiert bei mir auch, allerdings in Form eines Mini-Ringbuchs, bei dem man Blätter auch austauschen/nachlegen kann. Und das liegt im Panzerschrank. Andere Aufzeichnungen gibt es nicht. Sollen meine Erben halt lernen, meine Handschrift zu lesen ;-)
Wo kann man diese Datenbank downloaden?
Das prüfen des eigenen Passworts über die Webseite 4IQ ist ja wohl Schwachsinn. Wer sendet sein Passwort einfach so übers Internet?
"Wer sendet sein Passwort einfach so übers Internet?"
Millionen Deppen jeden Tag, nachdem sie brav den Link in irgendeiner Phishingmail angeklickt haben, tun das. :-)
Man schickt nicht das Kennwort, sondern sendet eine Mail von der E-Mail-Adresse, die man überprüft haben will. Dann bekommt man die Liste, wo die betreffenden Konten samt Kennwörtern drin sind.
Die Frage ist, ob man 4IQ vertraut bzw. wie stark die E-Mail-Adresse bereits bei Spammern vorhanden ist.
In dem Blog Artikel ganz unten steht noch ein interessantes Angebot, um zu prüfen, ob für die eMail Adresse ein Kennwort in der Datenbank enthalten ist:
[…]
We are happy to send exposed passwords (truncated) to you.
If you write us an email to verification@4iq.com with subject line: Password Exposure Check we will respond with the truncated list of found passwords for that email. Of course we will only report the passwords related to the specific email from which you write us. So if you want to verify different emails you will have to send an email from each of them.
We would appreciate help in verifying the authenticity of the data. Once you get our reply from verification@4iq.com, be sure to reset your passwords and for those that are no longer in use, let us know if the truncated password is correct — we will publish statistics on these findings.
[…]
Die Info ist wohl nachgetragen worden, nachdem ich den Blog-Beitrag – quasi auf Vorrat – verfasst habe.
Ist ein zweischneidiges Schwert. Gesetzt der Fall, die würden phishen, liefern die Leute ihre e-Mail-Adressen. Ist zwar nicht so wahrscheinlich, aber daher halte ich mich mit den Infos diesbezüglich zurück. Muss jeder selbst entscheiden.
Das Passwort an Stelle 25 ist falsch, statt "1qaz2wsx" muß es heißen "1qay2wsx", ansonsten macht das alles echt Sinn ;-)
@Manuhiri :
Nein, da die meisten User wohl engl. amerik. Tastatur haben ist es ein "z" und kein "y" an der 4. Stelle.