linkedin

Wie bereits vermutet hat sich die Passwort-Cracking-Comunity mit großem Eifer auf die soeben aufgetauchte Liste von LinkedIn-Passwort-Hashes gestürzt. Innerhalb von nur zwei Stunden waren rund zwei Drittel geknackt; letzten Berichten zu Folge sind es schon über 140 Millionen und damit über 80 Prozent aller Passwörter. Und stündlich werden es mehr.

LinkedIn hatte die Passwörter als ungesalzene SHA1-Hashes gespeichert – ein fataler Fehler, denn SHA1-Hashes lassen sich sehr schnell und in großer Menge erzeugen. Somit können Cracker riesige Mengen an Passwörtern durchprobieren. KoreLogic, die mit „Crack me, if you can“ auch eine Art inoffizielle Cracker-WM ausrichten, berichtet in einem eilig geschriebenen Blog-Beitrag, dass sie die im Untergrund angebotene Liste erhalten und an ihr „privates, verteiltes Cracking-Netz“ verfüttert haben.

Die Liste enthält demnach sogar 177,500,189 ungesalzene SHA1-Passwort-Hashes – also noch einmal deutlich mehr als bisher bekannt. Die verteilen sich auf 164 Millionen E-Mail-Adressen. Dem letzten Update zu Folge halten noch etwas über 30 Millionen Passwörter den geballten Cracking-Versuchen stand. Es ist damit zu rechnen, dass innerhalb weniger Tage über 90 Prozent der Passwörter geknackt werden; die letzten Prozent werden dann zur Fleißarbeit, die auch über Monate hinweg nur noch langsam abnimmt. Letztlich werden nur ganz wenige, lange und wirklich zufällige Passwörter den Knackversuchen stand halten.

Das populärste Passwort auf LinkedIn war übrigens „123456“, das über eine Million mal genutzt wurde. Es deklassierte „linkedin“, „password“ und „123456789“ deutlich, die aber immer noch jeweils weit über hunderttausend Mal zum Einsatz kamen. Doch Witze über dumme Anwender mit viel zu simplen Passwörtern kann man sich getrost sparen. Im Gegenteil: Wer ein solch einfaches Passwort verwendet hat, kann sich jetzt freuen, dass er keine unnötige Gehirn-Kapazität an ein extra sicheres Passwort wie „zhengbo645917“ verschwendet hat. Das wurde nämlich genauso geknackt wie mehrere tausend mindestens 16-stellige.

(Quelle: www.heise.de)