Sicher habt ihr schon von Berichten über Datenpannen großer Unternehmen und über Angriffe auf deren Kundendatenbanken gehört. Ist man von einem solchen Datendiebstahl betroffen, bleibt oft nur, das eigene Passwort auf allen Systemen mit dem entsprechenden Passwort zu ändern. Mehr kann man kaum tun.
Doch warum sind derartige Datenlecks oft folgenschwer? Potentielle Angreifer nutzen die Daten aus den bisherigen Angriffen, um sich weitere Angriffsvektoren zu erschließen. Es existieren große Datensammlungen im Internet, mit deren Hilfe künftige Angriffe effizienter durchgeführt werden können. Zum Beispiel werden geleakte Passwörter aus vielen Angriffen konsolidiert und es werden damit Listen mit den am häufigsten verwendeten Passwörtern erstellt. Aber auch vollumfängliche Listen sind möglich. So muss ein Angreifer ein Passwort nicht erraten (brute-force), sondern kann bereits öffentlich bekannte Passwörter einfach durchprobieren. Innerhalb von wenigen Minuten ist so eine ganze Passwortliste abgearbeitet. Und das spart Zeit!
Das eigene Passwort darf nicht öffentlich bekannt sein
Das eigene Passwort sollte also auf keiner solchen Liste stehen. Nun ist es allerdings kaum möglich, das selbst verwendete Passwort auf öffentliche Bekanntheit zu überprüfen. Dazu müsste man es mit über 200 Millionen Passworten vergleichen. Sicherheitsforscher stellen deshalb regelmäßig Listen mit den jeweils häufigsten Passworten zusammen. Taucht euer Passwort auf einer solchen Liste auf, solltet ihr schnell ein anderes Passwort festlegen. Denn stehen Passworte erstmal auf einer solchen Liste, sind sie wie oben beschrieben besonders leicht zu knacken.
Ich selbst nutze die Rockyou-Wordlist, um mein Passwort abzugleichen. Ich habe euch eine passende Google-Suche verlinkt. Diese Liste ist eine sehr wichtige Basisliste aus Kali Linux. Kali ist bei Angreifern von WLAN-Netzwerken sehr beliebt. Stimmt euer Passwort mit einem Begriff aus der sogenannten rockyou.txt überein, seid ihr besonders gefährdet: Denn die Passwörter auf der Liste werden vermutlich als erstes ausprobiert. In diesem Fall also schnell das Passwort ändern!
