Der australische Sicherheitsforscher Troy Hunt hat eine Sammlung mit 773 Millionen E-Mail/Passwort-Einträgen im Internet gefunden. Das ist die größte Sammlung an geleakten Passwörter, die jemals gefunden wurde. Ergänzung: Inzwischen sind weitere Sammlungen aufgetaucht.
Anzeige
Troy Hunt hat die Details in diesem Blog-Beitrag veröffentlicht. Die von ihm 'Collection #1' genannte Sammlung besteht aus E-Mail-Adressen und Passwörter in Form von 2.692.818.238 Zeilen. Er hat diese Sammlung, deren Daten aus sehr vielen unterschiedlichen Hacks stammen, im Netz in einem Untergrundforum gefunden.
Hunt schreibt, dass es insgesamt 1.160.253.228 einzigartige Kombinationen von E-Mail-Adressen und Passwörtern gibt. Die Sammlung enthält insgesamt 772.904.991 eindeutige E-Mail-Adressen. In der Sammlung finden sich 1.222.975 eindeutige Passwörter.
Ob eine E-Mail-Adresse in den Listen auftaucht, lässt sich auf der von Troy Hunt betriebenen Seite Have I been pwned abfragen. Ob ein Passwort schon mal in einer Liste aufgetaucht ist, lässt sich auf dieser von Troy Hunt betriebenen Seite abfragen.
Weitere Einzelheiten lassen sich bei Interesse in diesem Blog-Beitrag von Troy Hunt nachlesen. heise.de hat zudem diesen deutschsprachigen Artikel zum Thema veröffentlicht.
Anzeige
Ergänzung: Die weiteren Sammlungen #2 bis 5 sind im Blog-Beitrag Neue Passwort Collections mit 2,2 Milliarden Konten im Netz thematisiert.
Anzeige
Troy Hunt bietet weiter unten auf der Password-Seite noch Downloadlinks für die Offline-Abfrage – nicht jeder möchte seine Passwörter einfach in eine fremde Webseite eintippen. Die Datei beinhält Hashes der Passwörter und man kann die Datei z.B. mit Keepass + HIBPOfflineCheck-Plugin (https://github.com/mihaifm/HIBPOfflineCheck) mit den eigenen Passwörtern gegenprüfen.
Danke oli, sehr hilfreich!
"Der australische Sicherheitsforscher Troy Hunt hat eine Sammlung mit 773 Millionen Passwort-Einträgen im Internet gefunden."
Es sind nicht 773 Millionen Passwort-Einträge sondern 773 Millionen E-Mail-Adressen.
Firefox betreibt mit monitor.firefox.com schon länger eine Website zur Prüfung von E-Mail-Adressen.
Für meine Allzweck-Mailadresse erhalte ich auf jener Seite die Meldung „Pwned on 2 breached sites and found no pastes". Mit den verwendeten Slangausdrücken kann ich aber nichts anfangen, und auch deren englische FAQ-Erklärungen kapiere ich nicht.
Kann mir jemand weiterhelfen?
P.S.: Die in einem Kommentar erwähnte Seite monitor.firefox.com findet zu der kompromittierten Mailadresse gar nichts, sondern fordert bloß auf, einen „Firefox Monitor" zu abonnieren. Also keinesfalls gleichwertig mit der im Artikel genannten Seite.
Der Datenbestand bei monitor.firefox.com und auch anderen Angeboten wird laufend erweitert, dieser Leak ist neu, wobei die meisten E-Mail-Adressen Altbestände sind.
Ob eine Email-Adresse in einer solchen Liste auftaucht, stellt kein Problem dar und kann ignoriert werden. Zudem sollte man in diesem Zusammenhang keinesfalls aktiv genutzte Passwörter in irgendwelchen Webseiten zwecks Prüfung eingeben! Tut man es doch, ist das Passwort "verbrannt" und nicht mehr sicher!
Kurzum: Wer auf der sicheren Seite bleiben will, sollte Passwörter regelmäßig erneuern.