Passwortliste »RockYou2021«

8,5 Milliarden auf einen Streich

Schlüssel
© Zakhar Marunov - AdobeStock

Die Passwortsammlung »RockYou2021« enthält fast 8,5 Milliarden gestohlene Passwörter, angeblich wollen die Cyberkriminellen insgesamt sogar über 80 Milliarden gesammelt haben. Trotzdem ignorieren viele Nutzer und Unternehmen die enorme Gefahr, die davon ausgeht.

In einschlägigen Hackerforen ist die nächste neue Rekordsammlung gestohlener Passwörter aufgetaucht. Die mit »RockYou2021« Textdatei ist mehr als 100 GByte groß und enthält nach einer ersten Auswertung der laufenden Untersuchung durch Security-Experten knapp 8,5 Milliarden unterschiedliche und mindestens 6 Zeichen lange Passwörter (»unique Passwords«). Wie schon bei den letzten großen Sammlungen gesehen, stammt ein Teil davon aus älteren Sammlungen, etwa breachcomp2.0 (COMB). Die Anbieter von Diensten und Tools zur Kompromittierungs-Überprüfung wie have i been pwned, der Identity Leak Checker des Hasso-Plattner-Institutes sowie diverse Browser- und Softwarehersteller arbeiten bereits unter Hochdruck daran, die gigantische Liste mit ihren entsprechenden Datenbanken abzugleichen und die neuen Einträge zu integrieren. Wer seine Passwörter dort findet, sollte sie schleunigst ändern, selbst wenn er für seinen zugehörigen E-Mail-Account oder Login keine Meldung bekommt.

Denn genau das Gleiche wie die Leak-Checker werden auf der anderen Seite auch die Hacker machen. Sie können mit solchen Passwort-Datensätzen sowohl Massenangriffe auf verschiedenste Konten und Nutzer als auch gezielte Einbruchsversuche bei einzelnen Opfern durchführen, indem die Listen bei Brute-Force-Attacken mit abgearbeitet werden. Übertragen auf die analoge Welt haben sie damit einen gigantischen Vorrat gestohlener Schlüssel in der Hand, den sie an einzelnen oder auch unzähligen Haustüren gleichzeitig durchprobieren können. Maßnahmen wie zeitliche begrenzte Sperren nach falschen Eingaben bremsen sie dabei zwar aus, halten sie jedoch nicht auf. Wenig verwunderlich also, dass die Cyberkriminellen diese für sie äußerst praktischen Sammlungen weiter ausbauen wollen. »Die jetzt veröffentlichte Liste ist eigentlich ein logischer Schritt und nicht weiter überraschend«, bestätigt Tim Berghoff, Security Evangelist bei G Data CyberDefense, diese Entwicklung.

Wie erfolgversprechend und wichtig diese Option für Angreifer tatsächlich ist, zeigt sich eben genau daran, mit wie viel Einsatz die Sammlungen zusammengetragen werden und wie schnell sie in immer gigantischere Dimensionen vorstoßen. So waren in der ursprünglichen »RockYou«-Sammlung von 2009 nur etwas mehr als 30 Millionen Passwörter enthalten und noch 2019 hatte die Password-Collection #1-#5 erst mit dem Überspringen der Grenze von einer Milliarde Passwörtern und schließlich mit einer weiteren Verdopplung für großes Aufsehen bei Experten und in der Öffentlichkeit gesorgt. Nach eigenen Angaben haben die Hintermänner von RockYou2021 insgesamt sogar 82 Milliarden Passwörter zusammengetragen. Zudem ist davon auszugehen, dass zumindest die Urheber der Listen auch einen Großteil der zugehörigen Nutzernamen kennen und somit schon jetzt direkten Zugriff auf Milliarden Accounts haben.


  1. 8,5 Milliarden auf einen Streich
  2. Passwörter sicher erstellen, verwalten und überprüfen

Verwandte Artikel

G Data

IT-Security

Computerkriminalität

Anbieterkompass