68 Millionen verschlüsselte Passwörter aus Dropbox-Hack veröffentlicht
Die im Jahr 2012 von Hackern kopierte Dropbox-Datenbank ist online aufgetaucht. Die darin enthaltenen Passwörter sind zwar geschützt, etwa die Hälfte jedoch nur mit dem als nicht mehr sicher geltenden SHA1-Verfahren.
Der Sicherheitsforscher Thomas White hat 68 Millionen Passwort-Hashes von Dropbox-Nutzern veröffentlicht und stellt die Daten zum Download zur Verfügung. Unbekannte Angreifer haben die Passwörter Mitte 2012 abgezogen. Es ist davon auszugehen, dass die Daten echt sind.
E-Mail-Adresse plus Passwort-Hash
Alle Passwörter sind verschlüsselt. Rund bei der Hälfte greift das als sicher geltende Hash-Verfahren bcrypt. Beim Rest kommt ein einfacher SHA1-Hash mit Salt zum Einsatz. Diese Hashes lassen sich vergleichsweise schnell berechnen und Cracker könnten selbst gute Passwörter in überschaubarer Zeit knacken (siehe dazu Die Passwortknacker; Ein Blick hinter die Kulissen der Cracker).
Ein Blick von heise Security in die Daten zeigt, dass neben der E-Mail-Adresse von Dropbox-Nutzern stets der zugehörige Passwort-Hash auftaucht. Dort kann man auch ablesen, ob das eigene Passwort mit bcrypt oder SHA1 gehasht ist. Wer sein Dropbox-Passwort seit 2012 nicht geändert hat, sollte dies nun schleunigst nachholen.
Cracker-Ethik
White verfolgt eigenen Angaben zufolge keine kriminellen Absichten mit der Veröffentlichung. Viel mehr will er Sicherheitsforschern Forschungs-Material zur Verfügung stellen. Letztlich gehe es ihm darum, weitere Erkenntnisse über das Verschlüsseln von Passwörtern zu sammeln und so Anbieter, Firmen und Nutzer zu sensibilisieren. Whites Ansatz ist löblich, aber auch ein zweischneidiges Schwert: Schließlich könnten Kriminelle die veröffentlichten Daten missbrauchen.
White gibt zudem bekannt, in Zukunft nichts mehr zu leaken. Der Sicherheitsforscher will dafür künftig enger mit Firmen zusammenarbeiten, um deren Infrastruktur abzusichern und mehr Partnerschaften im Sicherheits-Bereich aufbauen. Das rücke sein Ziel das Internet sicherer zu machen in greifbarere Nähe.
White findet außerdem, dass Hacker moralischer handeln sollten. Das sei mehr wert, als wenn sie auf Teufel komm raus ausschließlich an ihrer Reputation feilten und letztlich der Gesellschaft keinen Dienst erwiesen.
Quelle: https://heise.de/-3340846
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Neue Zertifizierungen Montag, 28. Dezember 2020
- Auch über die Feiertage für Sie erreichbar Dienstag, 15. Dezember 2020
- Schöne Feiertage und einen guten Rutsch! Sonntag, 22. Dezember 2019
- Chaos bei Oktober-Updates für Windows und Internet Explorer Dienstag, 8. Oktober 2019
- Jetzt patchen! Exploit-Code für RDP-Lücke BlueKeep in Windows gesichtet Donnerstag, 23. Mai 2019
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Mittwoch, 5. Oktober 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Mittwoch, 5. Oktober 2016
- Detlef: Professionelle Beratung. Man nahm s... Mittwoch, 5. Oktober 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Mittwoch, 5. Oktober 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Mittwoch, 5. Oktober 2016