Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden. Insgesamt finden sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter.

Lesen Sie dazu auch den Hintergrundartikel bei heise Security: Nach dem Passwort-Leak: Eigene Passwörter lokal checken

Die Sammlung umfasst insgesamt über eine Milliarde Kombinationen aus beidem. In dem Untergrund-Forum, in dem Hunt ihn entdeckte, wurde der Datensatz unter dem Namen "Collection #1" gehandelt. Die Daten scheinen aus den unterschiedlichsten Quellen zusammengetragen worden zu sein und alle Passwörter liegen im Klartext vor.

Der riesige Fundus aus Passwörtern wurde in Untergrund-Foren angeboten und stand zeitweise frei zum Download im Netz. (Bild: Troy Hunt)

Ursprung der Daten

Laut Hunt haben die Anbieter der Sammlung die Daten so strukturiert, dass sie vor allem für "Credential Stuffing" zu gebrauchen sind. Bei dieser Art Angriff auf eine Webseite versucht der Angreifer nicht das Passwort eines einzelnen Accounts zu knacken, sondern füttert den Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste. Die Listen, die in dem Datenleck enthalten sind, stellen fast 2,7 Milliarden solcher Kombinationen zur Verfügung. Angreifer könnten sie nutzen, um massenweise Konten bei Webdiensten zu übernehmen. Das hat oft Erfolg, da sehr viele Nutzer dieselben Kombinationen von Mailadressen und Passwörtern bei vielen Diensten wiederverwenden.

Hunt hält es für plausibel, dass die Angaben der Verkäufer in dem Untergrund-Forum stimmen und die Daten aus vielen verschiedenen Hacks und Passwort-Leaks aus der Vergangenheit zusammengetragen wurden. Aus der Verzeichnisstruktur des Datensatzes lassen sich Schlüsse über Webseiten ziehen, aus denen die Daten stammen könnten – bei allen diesen Diensten Nachforschungen anzustellen, ob und wann sie gehackt wurden, scheint aber eine fast unlösbare Aufgabe zu sein. Vor allem weil man dafür auf die Kooperation jedes einzelnen Dienstes angewiesen wäre.

Ist mein Passwort unsicher?

Wer wissen will, ob eine seiner Mailadressen mit dazugehörigem Passwort in der Datensammlung vorkommt, der kann Hunts Dienst HIBP verwenden. Der Sicherheitsforscher hatte die vergangenen Tage damit verbracht, die Daten dort einzupflegen. Allerdings sagt eine Anfrage dem Anwender nur, ob eine Mailadresse in dem Leak vorkommt. Hunt speichert aus rechtlichen und rein logistischen Gründen keine Passwörter in seinem Dienst, sondern nur Hashes von Mailadressen, die kompromittiert wurden. Ist die Adresse allerdings im Collection-#1-Datensatz, sollte man wohl das dazugehörige Passwort ändern, rät Hunt.

Einzelne Passwörter lassen sich mit der Funktion Pwned Passwords der Seite überprüfen. Die Webseite sagt dem Anfragenden dann, ob Hunt eben jenes Passwort schon mal in einem Datenleck gesehen hat. Auch hier speichert Hunt nur Hashes und keine Passwörter im Klartext und überträgt nur Teile der Hashes, damit er selbst und ein mithörender Angreifer nicht auf das eingegebene Passwort schließen können. Trotzdem sollten Sie abwägen, ob Sie dort ein Passwort eingeben wollen. Hunt gibt sich alle Mühe, die Daten, die an seine Seite übermittelt werden, nach dem aktuellen Stand der Technik zu schützen. Trotzdem gilt eigentlich die Regel: Gib niemals ein Passwort irgendwo auf einer Webseite ein, außer es handelt sich um das Passwort-Feld der Seite, zu der es gehört.

Dauerhafter Schutz

Hunt empfiehlt Nutzern, einen Passwort-Manager zu benutzen und dafür zu sorgen, dass jede Webseite ihr eigenes Passwort hat. Das sollte beim Leak des Passworts bei einem Anwender verhindern, dass Hacker Passwortlisten verwenden können, um Konten bei anderen Diensten zu knacken. Er empfiehlt den Passwort-Manager 1Password, der seinen Dienst HIBP bereits integriert hat. Eine andere gute Alternative ist das quelloffene Community-Projekt KeePass. Die beste Verteidigung dagegen, Opfer einer Account-Übernahme in Folge eines solchen Datenlecks zu werden ist es auf jeden Fall, viele unterschiedliche starke Passwörter zu verwenden und ein Passwort-Manager ist dabei sehr hilfreich.

(fab)