Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Rockyou2024-Passwortliste: Grund zur Sorge oder viel heiße Luft?
Im Juni 2021 wurde in einem beliebten Hackerforum ein großer Daten-Dump namens “rockyou2021” veröffentlicht. Er wurde nach der beliebten Passwortliste “Rockyou.txt” benannt, die bei Brute-Force-Angriffen verwendet wird – und war damals ein großes Thema. Die Analyse unseres Teams dazu finden Sie hier.
Nun macht eine ähnliche Sammlung im Jahr 2024 unter dem Namen “Rockyou2024” die Runde. Der ursprüngliche Forenbeitrag behauptete, die aktuelle Passwortliste enthalte “über 9,9 Milliarden Passwörter”. Dies ist eine ernst zu nehmende Behauptung und daher hat sich unser Team mit den Einzelheiten befasst, um zu ermitteln, ob diese neue Liste etwas ist, worüber sich Unternehmen Sorgen machen sollten.
Was ist Rockyou2024 wirklich?
Wie schon bei “Rockyou2021” gab es auch bei “Rockyou2024” eine ganze Reihe von Schlagzeilen. Einige Quellen behaupten, es handele sich um das größte Passwort-Datenbankleak der Geschichte mit über 10 Milliarden Datensätzen. Die Analyse unseres Teams zeigt jedoch, dass dies bei weitem nicht der Wahrheit entspricht. Der Datensatz ist weder als Passwortliste nützlich, noch handelt es sich um eine vermeintliche Liste von Passwörtern, die für Angriffe auf potenzielle Ziele verwendet werden können. Um ehrlich zu sein, handelt es sich größtenteils um Datenmüll, und wir würden nicht empfehlen, Energie oder Aufwand auf diese Daten zu vergeuden.
Specops Analyse der Daten
Das Delta zwischen “Rockyou2024” und “Rockyou2021” beträgt 54 GB von 146 GB. Daraus ergeben sich etwa 1,5 Milliarden (1.489.515.500) neue Datensätze. Davon werden eine Reihe von Standard-Hashes verarbeitet (da diese Art von Daten für gewöhnlich den größten Teil dieser Art von Kompilationen ausmacht):
- 138 261 666 bcrypt.txt
- 480 116 331 md5.txt
- 202 577 427 sha1.txt
- 4 5676 538 sha256.txt
- 0 sha512crypt.txt
- 6 743 064 sha512.txt
- 873 375 026 total
Daraus ergeben sich 616.140.474 Datensätze (~ 20 GB). Beachten Sie, dass dies nicht alle Hashes oder abgeschnittene Hashes einschließt. Es handelt sich lediglich um ein nukleares Stripping einiger gängiger Hash-Typen, um die Daten zu verdichten.
Wenn Sie die Datensätze nach Länge aufteilen, erhalten Sie die folgenden Gruppen von Zeichenlängen in absteigender Reihenfolge:
- 09 2.1G
- 34 833M
- 38 686M
- 24 650M
- 10 399M
- 12 264M
- 11 245M
- 13 199M
- 08 179M
- 14 176M
- 63 128M
- 20 127M
- 51 114M
- 41 113M
- 15 111M
- 32 85M
In absoluten Zahlen:
- 09 223 055 687
- 34 24 940 213
- 38 18 423 609
- 24 27 229 401
- 10 37 978 951
- 12 21 259 190
- 11 21 384 664
- 13 14 833 594
- 08 20 780 673
- 14 12 288 359
- 63 2 085 716
- 20 6 322 637
- 51 2 289 684
- 41 2 814 447
- 15 7 248 179
- 32 2 689 279
Das sind insgesamt 445 624 283 Einträge, also 73 % der gesamten Datensätze. Wenn wir nun diese Längen weiter aufschlüsseln:
09
9-stellige Werte verschiedener vollständiger und partieller Zeichenketten. Wie üblich liegt diese Länge in der Mitte des Längenbereichs von Kennwörtern. Es kann sein, dass hier gültige Kennwörter enthalten sind, aber es ist unwahrscheinlich, dass sie sich von anderen alternativen Wortlisten unterscheiden. Es ist unwahrscheinlich, dass viele der Daten nützlich sind.
34
Eine Menge russischer Zeichenfolgen, schlecht geparste Zeichenfolgen, verschiedene Hashes und abgeschnittene Hashes.
38
Ähnlich wie 34, russischsprachige Strings, verschiedene Hashes und abgeschnittene Hashes, zum Beispiel abgeschnittene bcrypt-Hashes.
24
Größtenteils base64-verschlüsselte Zeichenfolgen, die aber kein englischsprachiger Text sind. Sie sind entweder Unicode oder eine andere Kodierungsebene vor base64. Es lohnt sich im Moment nicht, sie zu untersuchen. Sowie, ähnlich wie bei den anderen längeren Kategorien, fremdsprachige Strings, die besser von anderen Wortlisten, Regeln oder Masken abgedeckt werden sollten.
10
Ähnlich wie 9 – eine große Sammlung von 10-stelligen Zahlen in Strings.
- numeric: 18023570 (47.46%)
- loweralphanum: 11489073 (30.25%)
- mixedalphanum: 2423042 (6.38%)
- loweralpha: 2063234 (5.43%)
12
Sammlung von 12-stelligen Zeichenketten, Zahlen und einer Menge von IPs.
- loweralphanum: 6384403 (30.03%)
- mixedalphaspecialnum: 4633689 (21.8%)
- specialnum: 3040090 (14.3%)
- mixedalphanum: 1546756 (7.28%)
- loweralpha: 1407371 (6.62%)
- mixedalphaspecial: 922710 (4.34%)
- mixedalpha: 768977 (3.62%)
11
Sammlung von 11-stelligen Zeichenketten, Zahlen und einigen IPs.
- loweralphanum: 8871162 (41.48%)
- numeric: 4863557 (22.74%)
- mixedalphanum: 1839704 (8.6%)
- loweralpha: 1614811 (7.55%)
- specialnum: 1070368 (5.01%)
- mixedalpha: 822882 (3.85%)
13
Sammlung von 13-stelligen Zeichenketten, Zahlen und einer Reihe von IPs.
08
Was wir von 8 Zeichen erwarten würden.
- loweralphanum: 10880391 (52.36%)
- loweralpha: 3873181 (18.64%)
- mixedalphanum: 2651258 (12.76%)
- mixedalpha: 906904 (4.36%)
- upperalphanum: 627632 (3.02%)
14
Eine Menge Unicode-Müll und Dinge, die aus der Ausgabe von ‘ncurses’ herausgeschnitten wurden.
63
Im Allgemeinen nur Müll, z. B. schlecht verarbeitete E-Mail-Adressen und Zeichenketten aus Telegram-Scraping.
20
Eine Menge Russisch und Müll.
Wir sehen diesen Trend bei anderen langen Zeichenkategorien; die Leute neigen dazu, keine so langen Passwörter zu verwenden, und die Art und Weise, wie diese Daten zusammengetragen werden, führt zu einer Menge Hashes oder einfach nur Müll. Der fragliche Leaker wird oft einfach eine Reihe von Datenlecks ohne jegliche Verarbeitung zusammenstellen, um eine große Dateigröße und Medienwirksamkeit zu erzielen (der Screenshot seines Namens in einem Forenbeitrag usw.).
Ab diesem Punkt wird es immer schlimmer, denn es kommen immer mehr schlecht verarbeitete Zeichenketten hinzu, die sich nicht für eine Wortliste eignen, ganz zu schweigen von der unmöglichen Verwendung dieser Strings um entweder Hashes anzugreifen oder diese als Passwort für einen Spray-Angriff zu verwenden.
Steckt nun etwas wichtiges hinter den Daten?
Im Grunde genommen hat der Urheber der Liste “Rockyou2024” die Liste “Rockyou2021” (die aufgrund der Anzahl der Datensätze viel Aufsehen erregt hat) genommen und weitere Daten aus anderen, scheinbar minderwertigen Quellen hinzugefügt. Dann hat sie die Liste mit der Behauptung veröffentlicht, es handele sich um eine riesige neue Liste, um Aufmerksamkeit zu erregen.
Für Specops-Kunden stellt dieser Datensatz ein minimales bis gar kein Risiko dar, und der Wert dieses Datensatzes als Wortliste für Cracking oder andere Angriffe ist äußerst nebulös bis gleich null. Der Datensatz ist zu groß, um für das Knacken eines bestimmten Hashes von realistischem Nutzen zu sein, und es gibt einfach zu viele Daten von schlechter Qualität, um diese erfolgreich für Angriffe zu nutzen. Der Wert der Daten ist vernachlässigbar im Vergleich zu guten, aufbereiteten Wordlists und Rulesets in den Händen eines fähigen Angreifers.
Diese Liste hat keinerlei Einfluss auf das Gefährdungsmodell unserer Kunden und sollte im Allgemeinen einfach als eine weitere Clickbait- Compilation ignoriert werden.
Cybersecurity-Empfehlungen zum Umgang mit Rockyou2024
Letztendlich war RockYou2024 kein großer Dump von kompromittierten Passwörtern, wie behauptet (obwohl er einige enthielt). Es besteht jedoch immer noch die Möglichkeit, dass einige der enthaltenen Daten aus anderen Wortlisten stammen oder mit anderen Angriffsarten generiert wurden. Es gibt keine allgemeingültige Empfehlung für Passwortrichtlinien für Unternehmen, die Angriffe mit Hilfe der Listen RockYou2021 und Rockyou2024 verhindern wollen. Jedes Unternehmen hat andere Compliance-Anforderungen und Sicherheitsinteressen.
Der Einsatz von Specops Password Policy oder eines gleichwertigen Passwortfilters zur Umsetzung solider Passwortrichtlinien ist die beste Verteidigung gegen Angriffe mit diesen Arten von Datensätzen. Die Breached-Password-Protection-Funktion scannt Ihr Active Directory kontinuierlich auf kompromittierte und geleakte Passwörter und benachrichtigt Benutzer, dass sie ihr Passwort sofort ändern müssen.
Um die Länge von Kennwörtern wirkungsvoll als Schutzmaßnahme zu nutzen, können Organisationen einfach lange Kennwörter oder Passphrasen fordern – einen Best-Practice-Leitfaden für die benutzerfreundliche Einrichtung langer Passphrasen finden Sie hier. Außerdem können Organisationen längere Passwörter mittels längenbasierten Ablaufdaten für Kennwörter in Specops Password Policy fördern.
Möchten Sie mehr darüber erfahren, wie Specops Password Policy in Ihre Organisation umgesetzt werden kann? Wir beraten Sie gerne!
(Zuletzt aktualisiert am 22/10/2024)