Ihr Browser ist veraltet. Bitte aktualisieren Sie Ihren Browser auf die neueste Version, oder wechseln Sie auf einen anderen Browser wie ChromeSafariFirefox oder Edge um Sicherheitslücken zu vermeiden und eine bestmögliche Performance zu gewährleisten.

Zum Hauptinhalt springen
Digital
Abonnieren

Rockyou2024
Was es mit dem grössten Datenleck aller Zeiten auf sich hat

Eine Datei mit zehn Milliarden gestohlenen Zugangsdaten ist im Netz aufgetaucht. Das Risiko, betroffen zu sein, ist überschaubar – die richtigen Sicherheitsvorkehrungen vorausgesetzt.

Matthias Schüssler
Software error warning on laptop due to system crash or failure in a dark studio. Database monitoring hardware showing alert symbol or firewall breach due to mistake inside a server storage room.
In Rechenzentren kommt spezialisierte Software zum Einsatz, um einen Daten-Einbruch zu erkennen.
Foto: Getty Images
Jetzt abonnieren und von der Vorlesefunktion profitieren.
Abo abschliessenLogin
BotTalk

Gemessen an den Zahlen handelt es sich um das grösste Datenleck aller Zeiten. In einem Hackerforum ist die Datei «rockyou2024.txt» aufgetaucht, die fast zehn Milliarden Onlinezugangsdaten enthält – 9’948’575’739 Einträge, um exakt zu sein. Ein User namens ObamaCare hat sie am 4. Juli mit dem lapidaren Kommentar hochgeladen, Weihnachten sei «dieses Jahr früher gekommen als gewöhnlich».

Die auf IT-Sicherheit spezialisierte News-Website Cybernews.com hat diese Datensammlung entdeckt und eine erste Analyse vorgenommen. Es handle sich um eine «Kompilation» aus Zugangsdaten aus alten und neuen Datenlecks. Bislang unbekannte Passwörter scheinen in «rockyou2024.txt» nicht enthalten zu sein. Es droht somit keine akute Gefahr, wie das für Nutzerinnen und Nutzer der Fall ist, wenn Hacker bei einer grossen Website «frische» Log-ins erbeuten konnten.

Rockyou2024 laut Experten nahezu wertlos

Es gibt Sicherheitsexperten, die noch weiter gehen und «rockyou2024.txt» als nahezu wertlos abtun. Lars Karlslund, ein dänischer IT-Spezialist, nennt die Kompilation auf Linkedin «minderwertigen Müll» – und bezieht diese Bezeichnung auch auf die sensationsheischende Berichterstattung, die teilweise über das Leak erfolgte.

Ein verfrühtes Weihnachtsgeschenk? Die Veröffentlichung der Passwörter in einem Hackerforum.
Ein verfrühtes Weihnachtsgeschenk? Die Veröffentlichung der Passwörter in einem Hackerforum.
Screenshot: cybernews.com )

Für Nutzerinnen und Nutzer bedeutet das, dass kein Handlungsbedarf besteht – zumindest, falls sie bis anhin einen sorgfältigen Umgang mit ihren Zugangsdaten gepflegt haben. Die grösste Gefahr solcher Leaks besteht im «Password Stuffing»: Diese Methode beruht auf der Beobachtung, dass viele User die gleiche Kombination aus E-Mail-Adresse und Passwort mehrfach benutzen. Die Hacker versuchen somit, sich mit den Log-ins aus dem Leak bei beliebigen anderen Websites und Onlinediensten unbefugt Zugang zu verschaffen.

Tipps gegen das «Password Stuffing»

Die Schutzmassnahme gegen das «Password Stuffing» liegt auf der Hand: Verwenden Sie jedes Passwort nur einmal. Da es schwierig bis unmöglich ist, sich die Passwörter zu merken, setzen Sie einen Passwortmanager ein, um die Zugangsdaten sicher zu speichern. Solche Programme – die bekanntesten ihrer Art sind 1Password, Dashlane, Lastpass, Keeper, Bitwarden und das Open-Source-Programm Keepass – generieren auch sichere Kennwörter, die sich kaum knacken lassen.

Auch die gängigen Browser (Chrome, Firefox, Safari, Microsoft Edge) speichern die Zugangsdaten und generieren sichere Kennwörter. Die meisten Experten ziehen den Passwortmanager der Speicherung im Browser vor, weil sie dort noch besser geschützt sind. Doch auch dort lassen sie sich bei manchen Browsern extra durch ein Masterpasswort oder durch das Betriebssystem schützen. Das heisst, dass Sie den Zugriff per Fingerabdruck, Gesichtserkennung oder über Ihren PIN-Code freigeben müssen. Mehr zu dieser Sicherheitsmethode erklärt unser Ratgeber zu den Passwörtern.

Mit diesen Tipps bleibt Ihr Passwort sicher

Erstens erhöht die 2-Faktor-Authentifizierung die Sicherheit Ihrer Daten beträchtlich. Da für den Zugang nebst Nutzernamen und Passwort auch ein Einmalcode notwendig ist, können Hacker selbst mit gestohlenen Zugangsdaten nicht in Ihre Konten einbrechen. Schalten Sie bei wichtigen Konten diese Sicherheitsmethode unbedingt ein. Weitere Informationen finden Sie in unserer Tipp-Sammlung.

Der Passwortcheck im Chrome-Browser zeigt Schwachstellen auf.
Der Passwortcheck im Chrome-Browser zeigt Schwachstellen auf.
Foto: Matthias Schüssler (Screenshot)

Zweitens weisen Sie die meisten Browser auf problematische Passwörter hin, das heisst auf solche, die zu kurz, zu unsicher oder in Daten-Leaks aufgetaucht sind:

  • In Chrome finden Sie diese Option über das Menü und «Einstellungen» bei «Autofill und Passwörter > Google Passwortmanager > Passwortcheck».

  • In Firefox klicken Sie auf «Einstellungen» und dann auf «Datenschutz und Sicherheit». Klicken Sie auf «Gespeicherte Passwörter».

  • In Microsoft Edge klicken Sie in den Einstellungen auf «Kennwörter» und auf «Kennwortsicherheitsprüfung».

  • Apple zeigt entsprechende Empfehlungen auch am iPhone an: In den Einstellungen tippen Sie auf «Passwörter > Sicherheitsempfehlungen».

Matthias Schüssler ist Digitalredaktor und berichtet über Neuigkeiten der Tech-Konzerne, Smartphone, Computer und Gadgets und gibt Hilfestellung für den souveränen Umgang mit künstlicher Intelligenz, Datensicherheit und den digitalen Anforderungen des Alltags.@MrClicko

Jetzt aktuell

Mehr

Die Redaktion empfiehlt

Mehr

Mehr aus dieser Kategorie

Mehr