Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes!

Er hat schon einmal 306 Millionen Passworthashes veröffentlicht. Nun folgende weitere 500 Millionen. Die halbe Milliarde Hashes können auf der Website von Troy Hunt heruntergeladen werden. Seine Website ist dafür bekannt, dass man dort auch überprüfen kann ob die eigene E-Mail Adresse in gestohlenen Datensätzen auftaucht.

Der Datensatz selber ist mehrere GB groß und bietet für Unternehmen ein großes positives Potenzial, um die Vergabe von bereits gestohlenen Passwörtern einzuschränken.

Passworthashes können Firmenpasswörter sicherer machen

Die Passwortregeln die heute ihren Weg in deutsche und internationale Unternehmen gefunden haben stammen teilweise aus den 90er Jahren. Passwörter alle 90 Tage neu vergeben? Keine wirklich alltagstaugliche Praxis, trotzdem der Standard bei vielen Unternehmen und Accounts. Die Frage, wie man das Passwort aus der Welt schafft, treibt viele um. Mit XignQR kriegt man dieses Problem auch beseitigt, soll aber nicht Bestandteil dieses Blogbeitrages sein. Alte Zöpfe abzuschneiden fällt nicht immer leicht, ist aber oft die sinnvollste Lösung.

Beim Passwort ist das nicht anders. Moderne Passwortregeln unterscheiden sich mittlerweile stark von den fast 30 Jahre alten Anfängen. In einem separatem Beitrag werden wir noch detaillierter auf die Historie von Passwortregeln eingehen. Neben Tipps und Tricks gibt es aber auch technisch gute Möglichkeiten, die Vergabe von bereits gestohlenen Passwörtern zu vermeiden bzw. zu reduzieren. Und für diesen Zweck kommt der halbe Milliarde Passworthashes starke Datensatz von Troy Hunt ins Spiel, denn:

Sobald ein Passwort eingegeben wird, sollte es auf seine Tauglichkeit überprüft werden. Dazu zählt z.B. die Überprüfung, ob ein Groß- und Kleinbuchstabe, ein Sonderzeichen und eine Zahl enthalten ist. Doch nach diesen Regeln wäre „Schalke04“ ein gutes Passwort, was es natürlich nicht ist.

Der Abgleich mit bereits verwendeten oder gar gestohlenen Passwörtern wäre hilfreich. Und das gelingt Unternehmen mit dem Abgleich der Hashes, der sogenannten Prüfsumme. Diesen sinnvollen Schritt beschreibt die NIST in ihrem neuen Passwort Regelwerk vor. Doch das Wichtige was am Ende fehlt sind die Passworthashes, die man zum Abgleich benötigt.

Genau an dieser Stelle setzt Troy Hunt mit seiner frei verfügbaren Passwort Datenbank an. Jeder kann die Liste herunterladen. Klartext Passwörter erhält man übrigens nicht. Man sollte sich vorher darüber im Klaren sein, dass die Passwörter als SHA-1 Hash gesichert sind. Zwar auch nicht mehr der letzte Schrei beim Hashen, aber es ist auch nicht trivial für Laien mit überschaubarer Rechenleistung den Hash in den Klartext zurückzuführen.

Firmen können Datenbank herunterladen, implementieren und so Passwörter vergleichen.

Zielgruppe dieser Datenbank sind tatsächlich Unternehmen, Behörden und NGOs. Datenbank herunterladen, Einpflegen und mit eingegebenen Passwörtern abgleichen. Das hilft dabei nur Passwörter zu erlauben die noch nicht geklaut worden sind. Wer einen privaten Nutzen aus der Datenbank ziehen will, der kann das wie folgt tun:

-> Datenbank herunterladen –> Eigenes Passwort als SHA-1 hashen —> Nach Hashwert in Datenbank suchen

-> Fündig geworden? Dein Passwort wurde schon einmal gestohlen!

Hier gibt es den Datensatz (Teil 1 [9,0GB]Teil 2 [8,8GB]) zum Herunterladen. Viel Erfolg!

Weitere Informationen und Quellen

[1] Haveibeenpwnd.com

Der Beitrag Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes! erschien zuerst auf XignSys Blog.