In den letzten Tagen ist eine gigantische Passwortliste namens Rockyou2024 in einem Hackerforum aufgetaucht. Mit fast 50 Gigabyte an Daten und angeblich fast zehn Milliarden Einträgen sorgt sie für große Schlagzeilen. Doch ist die Aufregung wirklich gerechtfertigt? Ein genauerer Blick zeigt, dass es berechtigte Zweifel gibt.
Die Herkunft von Rockyou2024
Der Bedrohungsakteur, der sich Obamacare nennt, behauptet, dass Rockyou2024 eine aktualisierte Version der Rockyou2021-Liste ist, die bereits 8,4 Milliarden Passwörter umfasste. Laut Obamacare stammen die Daten aus verschiedenen in Foren geleakten Datenbanken der vergangenen Jahre. Die Liste enthält sowohl neue echte Passwörter als auch ältere, die mit Hilfe moderner Hardware geknackt wurden.
Die erste Version dieser Passwortliste, schlicht Rockyou genannt, wurde 2009 nach einem Datenleck bei dem Unternehmen Rockyou veröffentlicht. Damals enthielt sie etwa 32 Millionen Passwörter. Rockyou war ein Unternehmen, das Apps für verschiedene soziale Netzwerke entwickelte und wurde Opfer eines großen Datenlecks.
Zweifel an der Gefährlichkeit der Liste
Einige Sicherheitsexperten haben die Liste genauer unter die Lupe genommen und zweifeln an ihrer Gefährlichkeit. Der dänische Sicherheitsforscher Lars Karlslund, der den Dienst ntlm.pw zur Ermittlung bekannter Passwörter aus zugehörigen Hashes betreibt, hat auf LinkedIn einige interessante Details geteilt.
Karlslund fand heraus, dass etwa 1,5 Milliarden Einträge reine Hexadezimalwerte sind, bei denen es sich wahrscheinlich um nicht geknackte Hashes handelt. „Das sind 15 Prozent, die wir einfach streichen können“, erklärt Karlslund. Es ist zwar möglich, dass einige Nutzer solche Passwörter wählen, aber ein Anteil von 15 Prozent ist unrealistisch.
Darüber hinaus enthält Rockyou2024 mehr als eine Milliarde Zeilen mit einer Länge von mindestens 32 Zeichen. Auch hier erscheint der Anteil von zehn Prozent an derart langen Passwörtern unwahrscheinlich.
Ein Ozean von Passwörtern
Karlslund weist darauf hin, dass weitere zwei Milliarden Passwörter in einem bereits bestehenden „Ozean von acht Milliarden Passwörtern“ keinen großen Unterschied machen. Solche umfangreichen Listen lassen sich aufgrund gängiger Schutzmaßnahmen wie IP-Sperren ohnehin nicht gegen Onlinedienste ausnutzen. Dies sei höchstens in einem reinen Offlineszenario möglich.
Auch der Sicherheitsforscher Daniel Card betrachtet Rockyou2024 kritisch. In einem auf X geteilten Screenshot zeigt er einige Zeilen der Datei, bei denen fraglich ist, ob es sich tatsächlich um Passwörter handelt. „Selbst wenn zwei Milliarden weitere Passwörter enthalten wären, würde das die Fähigkeiten der Angreifer verändern? Nein“, betont Card und verweist auf bereits bestehende Wörterlisten und Tools wie Hashcat, die Cyberkriminelle in der Regel nutzen.
Fazit: Viel Lärm um nichts?
Die große Aufregung um die Rockyou2024-Liste scheint übertrieben zu sein. Die Analyse von Experten zeigt, dass viele der enthaltenen Passwörter wahrscheinlich nicht echt sind oder bereits bekannte Schutzmaßnahmen bestehen, die einen Missbrauch erschweren. Für die meisten Nutzer und Dienste besteht daher kein zusätzliches Risiko durch diese Liste.
Das Beispiel von Rockyou2024 zeigt einmal mehr, dass nicht jede spektakulär erscheinende Nachricht tatsächlich eine echte Bedrohung darstellt. Ein kritischer Blick und fundierte Analysen sind entscheidend, um die wirkliche Gefährlichkeit solcher Leaks einschätzen zu können.
© stock.adobe.com, bluedesign