LinkedIn-Passwörter im Umlauf
Derzeit kursiert im Internet eine Liste mit über 6 Millionen Passwort-Hashes, die angeblich von dem sozialen Netz LinkedIn stammen. Es empfiehlt sich, sein Passwort vorsichtshalber zu ändern.
In einschlägigen Internet-Foren kursiert derzeit eine Liste mit über 6 Millionen Passwort-Hashes, die angeblich von LinkedIn stammen. Die Passwörter werden derzeit gemeinschaftlich geknackt, für rund 300.000 wurde bereits der Klartext veröffentlicht. Es empfiehlt sich, jetzt sofort das eigene LinkedIn-Passwort zu ändern.
Die Liste enthält reine SHA1-Hashes ohne Namen und E-Mail-Adressen. Wer sie knackt, kann also nicht ohne weiteres auf ein passendes Konto zugreifen. Allerdings dürfte derjenige, der die Hashes erbeutet hat, auch im Besitz der zugehörigen Adressen sein. In ersten Stichproben konnte heise Security keine uns bekannten LinkedIn-Kennwörter in der Liste entdecken – angesichts von über 160 Millionen Mitgliedern hat das allerdings wenig zu bedeuten. Die bereits geknackten Passwörter enthalten häufig "linked" oder sogar "linkedin" etwa in der Form "lawrencelinkedin". Das deutet darauf hin, dass die Passwörter tatsächlich aus dem Sozialen Netz LinkedIn stammen könnten. Bestätigt ist dies allerdings bislang nicht.
Erschreckend ist, dass selbst Passwörter wie "parikh093760239", "a06v1203n08" oder "376417miata?" bereits geknackt wurden. Das ist auf die Tatsache zurückzuführen, dass die SHA1-Hashes offenbar ohne Salt erzeugt wurden. Damit sind sie leichte Beute für Angriffe mit Rainbow-Tabellen, mit denen sich dann auch solch eigentlich gute Passwörter in wenigen Stunden knacken lassen. Wie man das als Server-Admin besser macht, zeigt der Artikel Cracker-Bremse; Passwörter unknackbar speichern auf heise Security.
Jedenfalls kann man sich nicht darauf verlassen, dass das eigene Passwort ungeknackt bleibt. Wer also einen LinkedIn-Zugang hat, sollte sein Passwort jetzt also möglichst sofort ändern. Außerdem sollte man das unbedingt auch bei allen anderen Diensten tun, bei denen man das gleiche Passwort wie bei LinkedIn verwendet.
[Update: 6.6.2012, 18:30] LinkedIn bestätigt, dass man den Vorfall untersucht. Unterdessen haben mehrere vertrauenswürdige Personen erklärt, dass sich ihr LinkedIn-Passwort in der Liste findet, sodass davon auszugehen ist, dass die Betreiber des Sozialen Netzes tatsächlich ein Problem haben. Unterdessen tauchen auch bereits erste Web-Seiten auf, die dazu auffordern, das Passwort einzugeben, um zu überprüfen, ob man betroffen ist. Dabei handelt es sich um Phishing-Seiten. Außerdem ist damit zu rechnen, dass bald erste Spamwellen anrollen, die dazu auffordern, das LinkedIn-Passwort zu ändern und dazu eine Phishing-Seite verlinken. Statt diesen Links zu folgen, sollte man die LinkedIn-URL entweder selbst eingeben oder ein abgespeichertes Bookmark verwenden, um die Seite zum Ändern des Passworts aufzusuchen. (ju)