LinkedIn-Passwort-Leck hat desaströse Ausmaße

Beim Passwort-Diebstahl gab LinkedIn bereits 2012 eine erbärmliche Figur ab. Jetzt stellt sich auch noch heraus, dass nicht nur die damals veröffentlichten 6 Millionen Passwörter geklaut wurden, sondern über 100 Millionen im Untergrund gehandelt werden.

In Pocket speichern vorlesen Druckansicht 179 Kommentare lesen
LinkedIn - Lupe

(Bild: dpa, Jens Büttner)

Lesezeit: 2 Min.

Web-Site-Hacks passieren fast täglich. Der von LinkedIn 2012 war in mehrerer Hinsicht besonders. Er offenbarte, dass die Sicherheitsvorkehrungen des Kontakt-Netzwerks nicht einmal elementaren Standards genügten, was heise Security schon damals zu einem bösen Kommentar zum schlampigen Umgang mit Passwörtern bei LinkedIn veranlasste. Vier Jahre später zeigt sich, dass alles noch viel schlimmer ist.

LinkedIn hat sich nie dazu herabgelassen, seinen Nutzern zu erklären, was da eigentlich genau passiert ist und welches Ausmaß das Problem hatte. Man sprach lediglich vage von einigen betroffenen Nutzern. Ein veröffentlichter Datensatz mit 6,5 Millionen LinkedIn-Passwörtern erwies sich als echt, aber konkrete Zahlen nannte LinkedIn nie. Jetzt bietet ein Unbekannter unter dem Pseudonym "Peace" im Untergrund für 5 Bitcoins rund 117 Millionen LinkedIn-Passwörter zum Kauf an – und auch die erweisen sich als echt. Kurz nach den ersten Berichten bestätigt LinkedIn die Echtheit der Daten und kündigt an, man wolle Maßnahmen ergreifen, den möglichen Schaden einzugrenzen.

Die 2012 veröffentlichten Passwörter waren zwar gesichert, aber nur als einfacher Hash ohne Salt. Damit boten sie sich als ideales Übungsmaterial für Cracking-Experimente an und Passwortknacker aller Länder machten sich einen Sport daraus, den Hashes echte Passwörter zuzuordnen. Es ist anzunehmen, dass auch die jetzt angebotenen 100 Millionen nicht besser gesichert waren und sich ebenfalls leicht knacken lassen.

Dieses Passwort-Leck hat damit Bedeutung weit über LinkedIn hinaus. Nicht nur, dass viele Anwender die gleichen Passwörter nach wie vor für mehrere Zugänge nutzen und somit auch deren Facebook, Google oder Xing-Account in die Schusslinie der Angreifer kommt. Echte Passwörter sind auch ein wichtiger Rohstoff für Cracker und deren fortgeschrittene Algorithmen. Die kann man nämlich damit so trainieren, dass sie zukünftig noch effizienter arbeiten.

Mehr dazu erklären die c't-Artikel:

  • Die Passwortknacker, Ein Blick hinter die Kulissen der Cracker
  • Knack mich, wenn du kannst; Die Tools und Techniken der Passwortknacker

(ju)