Schützen Sie Ihr Netzwerk vor RockYou2021

Im Juni 2021 wurde in einem beliebten Internet-Hacking-Forum ein großer Datensatz veröffentlicht. Dieser Datensatz wurde als “rockyou2021” bezeichnet, benannt nach der beliebten Brute-Force-Wortliste für Passwörter, die als Rockyou.txt bekannt ist.

Sowohl die Medien als auch Twitter beschäftigten sich mit der Frage, wie man mit RockYou2021 umgehen soll. Sie sind also nicht allein, wenn Sie sich fragen, ob oder wie Sie Ihr Netzwerk vor RockYou2021 schützen sollten. Wir haben unser Research-Team gebeten, den Datensatz eingehend zu untersuchen und stellen die Ergebnisse in nachfolgenden Beitrag vor. Während einige Twitter-User meinten, dass dieser Datensatz voller Datenmüll sei, der keinen Handlungsbedarf erfordere, kam unser Team zu einem etwas anderen Urteil.

Was ist in Rockyou2021 enthalten?

Die Zielsetzung dieses Datensatzes war es, bei Brute-Force-Angriffen auf Passwort-Hashes zu helfen, um ein Passwort in der Wortliste zu finden, mit dem man sich bei dem Dienst oder Netzwerk anmelden kann, das durch den Hash geschützt wird. Dieser Datensatz wurde als eine Kombination aus “COMB” (Collection of Many Breaches) und Wortlisten aus Wikipedia und anderen Quellen beschrieben.

Da es sich bei diesem Datensatz um eine Wortliste und nicht um einen Dump vorhandener Anmeldedaten aus bestehenden Quellen handelt (abgesehen von den COMB-Datensätzen), werden keine Benutzernamen mit diesen Datensätzen kombiniert. Der Datensatz stellt einfach eine Wortliste dar, die als mögliche Passwörter für Brute-Force- oder Cracking-Versuche verwendet werden kann.

Die Analyse unseres Teams zu RockYou2021

Es wurde eine Analyse der rockyou2021-Wortliste durchgeführt; diese Analyse wurde mithilfe von Standard-Textmanipulationstools durchgeführt, um Teilmengen zu sammeln, und die Datensätze wurden zufällig gemischt, in Teilmengen aufgeteilt und dann verarbeitet, um geeignete Statistiken zu berechnen.

Für die Analyse (Erstellung von Kennwortstatistiken der in Frage kommenden Datensätze) wurde eine Teilmenge von ca. 200 Mio. Datensätzen aus dem gesamten Datensatz von ca. 8,5 Mrd. Datensätzen ausgewählt. Dies entspricht einer Stichprobe von ca. 2,4 %.

Zur Veranschaulichung wird im Folgenden eine Auswahl von Datensätzen aus dem gesamten Datensatz dargestellt:

password331193
password762803
password7487
passwords7288
passworded8206
passwords1037
qwertyu098
qwertyUYTREW!3579-
pandazzqwerty
qwertypoi098
9qwertysylvia
qwerty7890-=-97531
qwerty5885946588594
Efetiiloveyou?
Abcdeiloveyou
omailoveyou11
8809iloveyou
9adamiloveyou
6395iloveyou!
lissailoveyou
8iloveyouu

Die Verteilung der gängigen Passwörter als “Basiswörter” (Wörter, die in Kombination mit Buchstaben/Zahlen/Satzzeichen verwendet oder durch Umlaute oder “Leetspeak” modifiziert werden) sieht wie folgt aus:

Der Datensatz tendiert zu längeren Passwörtern, was entweder die Verwendung von schwer zu merkenden längeren Passwörtern erfordert, um Kollisionen mit der Wortliste zu vermeiden, oder im Idealfall die Verwendung von Passphrasen.

Unser Team hat auch einen Blick auf die Komplexität der RockYou2021-Datensätze geworfen. Nachfolgend finden Sie eine Aufschlüsselung, wie viele Datensätze in verschiedene Komplexitätstypen fallen, sowie einige Beispiele:

Komplexitätstyp: Kleinbuchstaben und Zahlen (loweralphanum)
Anzahl der RockYou2021-Datensätze: 34,296,199 (34.06%)
Beispiele: sta8342, residerais6

Komplexität Typ: Klein- und Großbuchstaben mit Zahlen (gemischtes Alphanum)
RockYou2021 Rekordzahl: 20,526,308 (20.38%)
Beispiele: BEllow2588, peDiortho95

Komplexität Typ: Nur Kleinbuchstaben (loweralpha)
RockYou2021 Datensatzanzahl: 15,398,980 (15.29%)
Beispiele: nadajuez, namchaithailand

Komplexität Typ: Kleinbuchstaben und Sonderzeichen (loweralphaspecial)
RockYou2021 Datensatzanzahl: 5394563 (5.36%)
Beispiele: pimbava-os, @mb@|it

Komplexität Typ: Klein- und Großbuchstaben und Sonderzeichen (mixedalphaspecial)
RockYou2021 Datensatzanzahl: 2,432,456 (2.42%)
Beispiele: All’Arrabbiatela, Bäcker_tentb

Komplexität Typ: Klein- und Großbuchstaben (mixedalpha)
RockYou2021 Datensatzanzahl: 6,737,899 (6.69%)
Beispiele: DenisedeRidder, BlackMightyWax

Komplexität Typ: Großbuchstaben und Zahlen (upperalphanum)
RockYou2021 Datensatzanzahl: 5,044,179 (5.01%)
Beispiele: CIZAWOVY1, EDUARDO6592

Komplexität Typ: Großbuchstaben und Sonderzeichen (upperalphaspecial)
RockYou2021 Datensatzanzahl: 284,279 (0.28%)
Beispiele: ALTNØGLEN, ATMOSF{{RIIN

Komplexität Typ: Kleinbuchstaben, Sonderzeichen und Zahlen (loweralphaspecialnum)
RockYou2021 Datensatzanzahl: 3,811,000 (3.78%)
Beispiele: rhs;ysq52, promu|gat3

Komplexität Typ: Nur Zahlen (numerisch)
RockYou2021 Datensatzanzahl: 3,303,380 (3.28%)
Beispiele: 66748719, 87925501

Komplexität Typ: Klein- und Großbuchstaben, Sonderzeichen und Zahlen (gemischte Alphaspezialzahl)
RockYou2021 Datensatzanzahl: 1,582,514 (1.57%)
Beispiele: D3PR3Da7!0NS, 75Henri-

Komplexität Typ: Nur Großbuchstaben (upperalpha)
RockYou2021 Datensatzanzahl: 1,154,030 (1.15%)
Beispiele: ATTRATIV, ENBOSTADSHUS

Komplexität Typ: Großbuchstaben, Sonderzeichen und Zahlen (upperalphaspecialnum)
RockYou2021 Datensatzanzahl: 462,041 (0.46%)
Beispiele: 9753(OL>@$^*, <MNBGJL”_098

Komplexitätstyp: Sonderzeichen und Zahlen (specialnum)
RockYou2021 Datensatzanzahl: 274,758 (0.27%)
Beispiele: @12345678910111213@, 8#####@*_(0-0)

Die obige Aufschlüsselung zeigt, dass es nicht erforderlich ist, den größten Teil von RockYou2021 zu einer Liste mit verletzten Passwörtern hinzuzufügen, da ausreichende Komplexitätsregeln vor über 95 % aller Datensätze in RockYou2021 schützen könnten. Durch die einfache Anforderung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen würde man ausschließen, dass ein gültiges Passwort in den folgenden Kategorien enthalten ist (die 96,5 % unserer Stichprobe ausmachen).

Empfehlungen für Passwortrichtlinien im Rahmen von RockYou2021

Es gibt keine allgemeingültige Empfehlung für Passwortrichtlinien in Organisationen, die mithilfe der RockYou2021-Liste Angriffe verhindern wollen. Jede Organisation hat andere Anforderungen an die Einhaltung von Vorschriften und Sicherheitsbedenken.

Die stärkste Abwehr gegen den Versuch, Hashes mit Hilfe dieser Wortliste zu knacken, wäre jedoch die Verwendung ausreichend langer Passphrasen oder ausreichend langer komplexer Zeichenfolgen. Wie in der NIST Special Publication 800-63B, Abschnitt 5.1.1.2, empfohlen.

“Die Prüfer MÜSSEN fordern, dass die vom Benutzer gewählten gespeicherten Kennwörter mindestens 8 Zeichen lang sind. Prüfer SOLLTEN vom Teilnehmer gewählte gespeicherte Kennwörter mit einer Länge von mindestens 64 Zeichen zulassen.”

Wenn Unternehmen die Länge von Passwörtern als Schutzmaßnahme nutzen wollen, können sie einfach lange Passwörter oder Passphrasen voraussetzen. Die Mehrheit der RockYou2021-Datensätze hatte weniger als 22 Zeichen, und die meisten Datensätze am längeren Ende der Skala waren für Menschen nicht lesbar. Unternehmen könnten den Ansatz verfolgen, die Verwendung von Passphrasen zu fördern, indem sie mindestens so viele Zeichen vorschreiben oder einen niedrigeren Mindestwert festlegen, aber Anreize für längere Passwörter durch eine längenbasierte Passwortalterung in der Specops-Passwortrichtlinie schaffen.

Längenbasierte Passwortalterung als Anreiz für Passwörter mit mehr als 22 Zeichen mit der Specops Password Policy ermöglichen

Ein anderer Ansatz besteht darin, eine Längenanforderung mit Zeichenanforderungen zu kombinieren. Nach Prüfung der Analyse der Passwortlänge in RockYou2021 und der Komplexität der in diesem Datensatz enthaltenen Datensätze stellte unser Team fest, dass die Verwendung einer starken Passwortrichtlinie, die mindestens 16 Zeichen erfordert, und die Förderung einer höheren Entropie in der Passphrase wie einige Großbuchstaben oder andere komplexe Zeichen mehr als 95 % der Datensätze in der Wortliste ausschließen würde. Dies ist nicht nur ein Schutz gegen das Entschlüsseln von Hashes (oder Brute-Forcing) über Wortlisten wie Rockyou2021, sondern auch ein Schutz gegen das Brute-Forcing dieser Datensätze; je länger das Passwort und je höher die Entropie, desto kostspieliger (und damit unwahrscheinlicher) ist der Brute-Force-Angriff.

Eine Passwortregel, die eine Mischung aus Buchstaben, Zahlen und Sonderzeichen verlangt (vorzugsweise eine komplexe Passphrase), könnte den Datensatz rockyou2021 einfach ausschließen. Durch die Festlegung einer Mindestlänge für Passwörter und die Verwendung einer Komplexitätsregel, die auf den erforderlichen Komplexitätsklassen aufbaut, kann man verhindern, dass Benutzer Passwörter erstellen, die für diese Art der Brute-Force-Wortlistengenerierung zu schwach sind. Verwenden Sie Specops Password Policy, um eine solche Richtlinie zu konfigurieren:

Letztendlich war RockYou2021 kein großer Datenbankdump von entwendeten Passwörtern (obwohl er einige enthielt). Es handelt sich jedoch immer noch um eine Wortliste, die Angreifer bei ihren Angriffen auf Ihr Netzwerk verwenden können.

Der Einsatz von Specops Password Policy oder eines gleichwertigen Passwortfilters zur Durchsetzung starker Passwortrichtlinien ist der beste Schutz gegen Angriffe mit dieser Art von Datensätzen. In Kombination mit einem nachhaltigen Service zum Schutz vor Passwortverletzungen wie Specops Breached Password Protection, können Unternehmen die Hürden für einen Angriff auf Passwörter, um in Ihr Unternehmensnetzwerk einzudringen, erhöhen.