Skip to content

6458020 Linkedin Passwörter Hashes geleakt

Wie so oft vergeht in der IT und gerade im Web kaum ein Tag ohne das Bekanntwerden von irgendwelchen Sicherheitslücken – Mit aller Regelmäßigkeit sind leider auch große Seiten von solchen Vorfällen betroffen. Diesmal hat es Linkedin erwischt!

Was ist passiert?

Es ist fast einen Monat her, dass im Netz über 35000 Twitter Passwörter im Netz aufgetaucht sind. Was damals wohl eher nach der Liste von Spambots aussah ist diesmal bei Linkedin anders.
Ein russischer Hacker hat eine Datei Namens „combo_not.txt“ veröffentlicht in der knapp 6,5 Millionen Passwort Hashes aufgelistet sind. Zum Glück für die meisten sind diese Passwörter keinen Accounts oder Nutzernamen zugeordnet, so dass es noch nicht jedem, dem die Datei in die Hände fällt, gelingt mit diesem Schindluder zu treiben. Da der Hacker aber an dies Hashes kam kennt dieser wohl auch die dazugehörigen Nutzerdaten und der Leak wurde mittlererweile auch von Linkedin bestätigt.
Auf Grundlage dieser Informationen ist die aktuell direkte Gefahr noch Überschaubar, aber es zeigt auch wieder wie wichtig es ist Passwörter in der Datenbank abzusichern. Am besten macht man dies, indem man dem Passwort einen zufällig generierten Salt hinzufügt.

TEST: Diesen Text bitte ignorieren: Firefox Addons von Jens Altmann

Worin besteht die Gefahr?

Weil die Passwörter ohne zusätzlichen Schutz mit dem sha1 Hashmechanismus kodiert wurden, kann man über Bruteforce und Rainbow Tables Attacken die Passwörter wieder reproduzieren. Die Technik ist, dass man nicht versucht den Hash zu decrypten, sondern alle möglichen Passwörter verschlüsselt und dann mit den Hashes aus der Datenbank vergleicht.

Was muss ich tun?

Änder dein Passwort und nutze unterschiedliche Passwörter für unterschiedliche Webseiten!

Wie schon bei dem Twitter Artikel könnt ihr hier einfach prüfen, ob ein Passwortstring in der veröffentlichten Datei enthalten ist.

Mögliche Beispiele von schon gecrackten Passwörten sind :
Alpenwei, Bufferzone, CONSERVATORIUM, Fijnaart, KIPFILET, Kinderopvang, Luyksgestel, Moordrecht, Naaldhak, Nachtzuster
Quelle



Jens Altmann

Avatar Jens Altmann

Jens Altmann bloggt auf gefruckelt.de regelmäßig über alle Themen, die ihn interessieren. Neben seiner Tätigkeit als Softwarearchitekt studiert er Wirtschaftsinformatik an der Uni Potsdam.

Weitere Informationen über Jens Altmann

Interessante Artikel

Kommentare

Keine Kommentare

Kommentiere diesen Artikel als erstes!

Kommentiere den Artikel

Required

Required

Optional