Die Meldung sorgt für Aufregung: Sicherheitsforscher der Plattform CyberNews [externer Link] berichten von einem Online-Dokument, in dem zehn Milliarden Passwörter gespeichert sind. Die Datei rockyou2024.txt wurde in einem Hacker-Forum gefunden, und soll angeblich der größte Passwort-Leak der Geschichte sein. In der Folge haben bereits mehrere Medien über die Datei berichtet.
Ist es also Zeit, überall Passwörter zu wechseln? Ist die Sicherheit aller Accounts in Gefahr?
Wenig Aufregung unter Hackern
Die Wahrheit sieht zum Glück weit weniger dramatisch aus. Wer die Geschichte von rockyou2024.txt nicht durch reißerische Überschriften, sondern in Internetforen für Hacking-Spezialisten verfolgt, der findet schnell ein anderes Bild vor. Dort balgen sich nicht etwa Hacker um die Daten – stattdessen spielen sie in der Diskussion kaum eine Rolle. Und wenn, dann herrscht wenig Interesse.
"Die Datei findest du hier", schreibt ein Nutzer in einem einschlägigen Hacker-Forum und stellt einen Link zur Verfügung. "Aber sie ist Müll. Sie beginnt mit jeder Menge 0x00 und enthält etwa 1,5 Milliarden Zeilen Hex (was auf ungebrochene Hashes hinweist)." Worauf der Nutzer damit hinweist: Die Datei ist keine Goldgrube für Kriminelle. Sondern die meisten Daten darin sind kaum zu gebrauchen.
Warum rockyou2024.txt wohl keine große Sache ist
Tatsächlich ist rockyou2024.txt wohl kein neuer Leak, sondern nur eine Zusammenstellung von alten Datensammlungen. Darunter sind wohl auch tatsächliche Passwörter, die im Rahmen verschiedener Hackerangriffe und Datenlecks angesammelt wurden.
Listen dieser Art finden immer wieder ihren Weg ins Netz. Erst vor wenigen Jahren entstand Aufregung um einen Vorgänger von RockYou2024 namens RockYou2021. Damals ging es um "nur" acht Milliarden Passwörter – doch auch damals bestand die Liste größtenteils aus einer Liste verschiedener Wörter, von denen einige als Passwörter genutzt wurden. Und die neue Liste RockYou2024 scheint dieser alten Liste stark zu ähneln. Der Nutzwert für Hacker ist also sehr gering.
Passwort-Experte wiegelt ab
Besonders kritisch berichtet Troy Hunt über den Hack. Hunt ist Microsoft-Mitarbeiter und in der Cybersicherheit-Welt renommiert als der Gründer der Website HaveIBeenPwned [externer Link]. Auf dieser Seite kann man überprüfen, ob die eigene E-Mail-Adresse oder Passwörter in einem Datenleck enthalten sind.
Hunt kritisiert in einem Statement auf X die Berichterstattung über den angeblichen Leak: "Das hier sind keine gestohlenen Passwörter", stellt er klar, "sondern nur Textlisten, die aus verschiedenen Quellen zusammengesucht wurden".
So geht Sicherheit im Netz
Wegen RockYou2024 alle Passwörter ändern ist also nicht notwendig. Experten empfehlen jedoch, ganz unabhängig von Leaks nur sehr lange und damit starke Passwörter zu benutzen – das Organisieren der Passwörter regelt man am besten mit einem Passwort-Manager.
Bei besonders wichtigen Accounts wie dem E-Mail-Postfach ist außerdem die 2-Faktor-Authentifizierung ein Muss. Dabei wird ein zusätzlicher Code aufs Handy geschickt, wenn man sich mit einem neuen Gerät einloggen möchte.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!