Nahezu 773 Millionen einmalige E-Mail-Adressen und mehr als 21,2 Millionen einzigartige Passwörter in Klartext fand man in einer Datensammlung namens Collection #1.
Der Security Researcher Troy Hunt – bekannt für seine Webseite Have I Been Pwned (HIBP) – verbreitete die News. Die HIBP-Webseite ermöglicht Computer-Usern, zu überprüfen, ob ein eigener Online-Account durch eine bekannte Datenpanne kompromittiert wurde. Die Besucher der Webseite können sich auch einen Alarm einrichten, falls das Online-Konto in Zukunft von einem Data-Leak betroffen sein sollte.
New breach: The "Collection #1" credential stuffing list began broadly circulating last week and contains 772,904,991 unique email addresses with plain text passwords (now in Pwned Passwords). 82% of addresses were already in @haveibeenpwned. Read more: https://t.co/BAa3rbgZo4
— Have I Been Pwned (@haveibeenpwned) January 16, 2019
Collection #1 besteht aus einer Reihe von E-Mail-Adressen und Passwörtern mit insgesamt 2.692.818.238 Zeilen. Die Daten stammen aus vielen verschiedenen Daten-Leaks, die von unterschiedlichen Quellen zusammengetragen wurden.“, schreibt Hunt auf seiner Webseite zum Daten-Leak. Die Anzahl der Zeilen kommt durch die Rohdaten zustande. Collection #1 enthält noch doppelte Werte und Junk Bits.
Nach dem Aufräumen des Files bleiben immer noch 1.160.253.228 Zeilen übrig, die in 772.904.991 einzigartige E-Mail-Adressen und 21.222.975 Passwörter in Klartext überführt werden können.
Jeder, der die Daten in die Hände bekommt, kann die E-Mail-Passwort-Kombinationen gegen Online-Accounts testen. Circa 140 Millionen E-Mail-Accounts und etwa 10,6 Millionen Passwörter waren noch nicht aus vergangenen Daten-Leaks bekannt.
Hunt bemerkte, dass er viele Informationen aus zurückliegenden Kompromittierungen kannte. Er gab allerdings zu verstehen, dass manche E-Mail-Adressen und Passwörter nicht unbedingt aus Datenpannen stammten.
Anhand der ihm vorliegenden Datensammlung sah er sich aber bestätigt, denn ältere E-Mail-Passwort-Kombinationen, wie sie schon auf HIBP gegengeprüft werden können, tauchten auch im neusten Datensatz auf.
„Wer seine Daten in dieser Sammlung wiedersieht, kann davon ausgehen, dass andere sie auch bereits zu Gesicht bekamen.“, schrieb Hunt.
Was man aus Daten-Leaks lernt
Nach der Erweiterung der HIBP-Datenbank um die Collection #1-Daten, ist es ratsam, den eigenen Online-Account auf eine Kompromittierung hin zu überprüfen. Jeder kann seine E-Mail-Adressen sowie Passwörter mit der HIBP-Datenbank abgleichen.
Wenn die E-Mail-Adresse oder das Passwort erkannt wird, sollte man so schnell wie möglich sein Passwort ändern.
Die Erstellung guter Passwörter ist nicht schwer – Hier die wichtigsten Punkte zusammengefasst:
- Schritt 1 – Mehrere Wörter
- Schritt 2 – Großbuchstaben hinzufügen
- Schritt 3 – Sonderzeichen gebrauchen
- Schritt 4 – Leerzeichen erhöhen die Komplexität
- Schritt 5 – Ziffern nicht vergessen
Außerdem sollte beachtet werden:
- Kurze Passwörter sind schlecht. Lange Passphrasen sind gut.
- Alte Passwörter niemals wiederverwenden.
- Zwei-Faktoren-Authentifizierung erhöht Sicherheit zusätzlich.
- Jedes Konto sollte eine eigene einzigartige(!) sichere Passphrase haben.
- Auch Passphrasen müssen hin und wieder gewechselt werden.
- Ein verlässlicher Passwort-Manager bietet sich unter Umständen an.