LinkedIn-Leck: Mehr als 80 Prozent der Passwörter bereits geknackt
Die GPU-basierten Cracking-Cluster laufen heiß – rund 140 Millionen Passwörter hat die Passwortknacker-Community bereits geknackt. LinkedIn hatte die gespeicherten Passwörter unzureichend gesichert und über Jahre das Ausmaß des Datenlecks verschwiegen.
Acht Radeon-GPUs im Parallelbetrieb
(Bild: Jeremy Gosney)
Wie bereits vermutet hat sich die Passwort-Cracking-Comunity mit großem Eifer auf die soeben aufgetauchte Liste von LinkedIn-Passwort-Hashes gestürzt. Innerhalb von nur zwei Stunden waren rund zwei Drittel geknackt; letzten Berichten zu Folge sind es schon über 140 Millionen und damit über 80 Prozent aller Passwörter. Und stündlich werden es mehr.
Die Passwort-Hashes wurden bereits 2012 bei einem Einbruch bei LinkedIn gestohlen. Die Betreiber der Business-Kontakt-Plattform hatten bis dahin die Passwörter ihrer Nutzer als ungesalzene SHA1-Hashes gespeichert – ein fataler Fehler, denn SHA1-Hashes lassen sich sehr schnell und in großer Menge erzeugen. Somit können Cracker riesige Mengen an Passwörtern durchprobieren. KoreLogic, die mit "Crack me, if you can" auch eine Art inoffizielle Cracker-WM ausrichten, berichtet in einem eilig geschriebenen Blog-Beitrag, dass sie die im Untergrund angebotene Liste erhalten und an ihr "privates, verteiltes Cracking-Netz" verfüttert haben.
Knack mich, wenn du kannst
Die Liste enthält demnach sogar 177,500,189 ungesalzene SHA1-Passwort-Hashes – also noch einmal deutlich mehr als bisher bekannt. Die verteilen sich auf 164 Millionen E-Mail-Adressen. Dem letzten Update zu Folge halten noch etwas über 30 Millionen Passwörter den geballten Cracking-Versuchen stand. Es ist damit zu rechnen, dass innerhalb weniger Tage über 90 Prozent der Passwörter geknackt werden; die letzten Prozent werden dann zur Fleißarbeit, die auch über Monate hinweg nur noch langsam abnimmt. Letztlich werden nur ganz wenige, lange und wirklich zufällige Passwörter den Knackversuchen stand halten.
Das populärste Passwort auf LinkedIn war übrigens "123456", das über eine Million mal genutzt wurde. Es deklassierte "linkedin", "password" und "123456789" deutlich, die aber immer noch jeweils weit über hunderttausend Mal zum Einsatz kamen. Doch Witze über dumme Anwender mit viel zu simplen Passwörtern kann man sich getrost sparen. Im Gegenteil: Wer ein solch einfaches Passwort verwendet hat, kann sich jetzt freuen, dass er keine unnötige Gehirn-Kapazität an ein extra sicheres Passwort wie "zhengbo645917" verschwendet hat. Das wurde nämlich genauso geknackt wie mehrere tausend mindestens 16-stellige.
Mehr zum Thema Passwort-Cracking lesen Sie auch bei c't:
- Die Passwortknacker, Ein Blick hinter die Kulissen der Cracker
- Knack mich, wenn du kannst; Die Tools und Techniken der Passwortknacker
Update, 23.5.2016, 17:30: Eingefügt, dass die Passwörter bereits 2012 entwendet wurden. (ju)
