Zu Forschungszwecken Sicherheitsexperte veröffentlicht Millionen Passwörter

Ein amerikanischer Forscher hat zehn Millionen Kombinationen aus Passwort und Nutzername im Web veröffentlicht, zu Forschungszwecken. Die Daten sind alt und verfremdet - trotzdem fürchtet er nun Ärger mit dem FBI.

Passwörter (Symbolbild): Zehn Millionen Datensätze im Netz
REUTERS

Passwörter (Symbolbild): Zehn Millionen Datensätze im Netz


"Heute veröffentliche ich zehn Millionen Passwörter", schrieb der US-Security-Experte Mark Burnett am Montag auf seinem Blog - und ging sogar noch einen Schritt weiter: Es sind insgesamt zehn Millionen Kombinationen von Nutzernamen und den dazugehörigen Passwörtern, die er zu Forschungszwecken als 78 Megabyte große Torrent-Datei freigibt. Eine gewagte Maßnahme, die dem Forscher Ärger mit dem FBI einbringen könnte. Doch das Risiko ist dem Forscher bewusst.

Der in Utah lebende Burnett ist Experte für Server-Sicherheit auf Windows-Systemen und beschäftigt sich seit Jahren mit den Methoden und Strategien, nach denen Menschen ihre Passwörter generieren. Je mehr Daten vorliegen und je besser sie gefiltert und aufbereitet sind, desto mehr kann die Forschung über diese Strategien in Erfahrung bringen, meint Burnett.

Deshalb hat er gigantische zehn Millionen Datensätzen zusammengetragen und aufbereitet. Er veröffentlicht sie nun, um weitergehende Forschung auf dem Gebiet der Datensicherheit zu ermöglichen. Burnett glaubt aber auch, dass er sich mit der Veröffentlichung auf riskantes Terrain begibt.

Er weist in seinem Blogeintrag ausführlich auf ein aktuelles Urteil hin, das seiner Ansicht nach symptomatisch für das politische Klima in den USA ist: Der "Anonymous"-Aktivist Barrett Brown war erst im Januar zu einer mehr als fünfjährigen Freiheitsstrafe verurteilt worden. Ursprünglich waren Brown unter anderem Identitätsdiebstahl und der Besitz gestohlener Kreditkartennummern vorgeworfen worden, die meisten Anklagepunkte jedoch fallengelassen worden.

Keine Gefahr für Nutzer

Burnett sieht das Urteil als Warnung des unter Druck geratenen FBI, potenzielle Hacker keinesfalls zu unterstützen. Deshalb erklärt er, warum ihn das FBI für seine Aktion nicht verhaften sollte: "Ich finde es absurd, dass ich mich in einem ganzen Artikel für die Veröffentlichung der Daten rechtfertigen muss - aus Angst vor Verfolgung oder Anklage. Ich wollte über die Daten eigentlich einen Artikel schreiben."

Dass Kriminelle etwas mit den von ihm veröffentlichten Informationen anfangen können, glaubt Burnett ausschließen zu können. Nach eigenen Angaben hat er die Daten großenteils verfremdet, indem er zum Beispiel den Domainnamen aus E-Mail-Adressen gelöscht, Schlüsselwörter wie Firmennamen sowie Kreditkarten- oder Kontonummern entfernt habe.

Die Daten waren laut Burnett teilweise auch schon rund zehn Jahre alt, die Passwörter nach seiner Einschätzung "längst tot". Ohnehin seien die Datensätze seit langem öffentlich einsehbar gewesen. Er selbst habe sie von Leak-Seiten wie "haveibeenpwned" und "pwnedlist" kopiert.

abr

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 5 Beiträge
Alle Kommentare öffnen
Seite 1
Kiesch 10.02.2015
1.
Ist natürlich jetzt die (wissenschaftlich) interessante Frage, ob die Daten als Stichprobe für typische Passwörter taugen, oder ob sie "nur" als Stichprobe für gehackte Passwörter taugen (sprich: solche die man durch bestimmte Arten von Angriffen herausfinden kann). Ansonsten: Interessante Problemstellung und tatsächlich schwierig zu bewerten. Wobei man auf jeden Fall sagen muss: Da die Daten nunmal schon "öffentlich einsehbar" sind, kann ich nicht erkennen, dass er irgendwas falsch gemacht hätte.
orthos 10.02.2015
2. Super!
Das ist ne klasse Wordlist zum Brute Forcen! :D Wo kann man die direkt runter laden?
Deutscher__Michel 10.02.2015
3. Ungefährlich?
Ich frage mich ob die DAten wirklich so ungefährlich sind. Auch wenn die Domäne abgeschnitten wurde, könnte man vermutlich einfach per Script die Gängigen EMailer ausprobieren.. die Passwörter hätten verfremdet werden sollen (oder sind sie das?). Auch möglich wäre es, wenn man einen Email-Adresse kennt einfach nach dem Namen zu suchen und die Passwörter auszuprobieren.. Kann man irgendwie rausbekommen ob das eigene Emailpasswort enthalten ist - oder mussm an dazu das Torrent runterladen?
quark@mailinator.com 10.02.2015
4. Absurd
Der Mann behauptet, die Veröffentlichung wäre keine Gefahr für die Nutzer ... dumm nur, daß seine Veröffentlichung eine Gefahr für alle Nutzer ist. Denn je besser man versteht, wie Menschen Paßwörter wählen, desto besser kann man diese knacken. Insbesondere kann man dann recht leicht von einem bekannten Paßwort auf unbekannte Paßworte für andere Dienste schließen. Effektiv bleiben einem Nutzer nur 2 Möglichkeiten - die Paßworte irgendwo aufschreiben, oder ein System anwenden, welches das Merken leicht macht. Sonst muß man schon verdammt eng mit Einstein verwandt sein um hunderte Paßworte zu merken. Beide o.g. Methoden haben signifikante Schwächen. Und daher ist Forschung zur Paßwortwahl immer auch Forschung zum Paßwortknacken - eben doch eine Gefahr für die Nutzer.
hermann_huber 10.02.2015
5. Super
Wie in Post beschrieben wird diese Passwort Liste nun zum Passwort Recover in der Dictonary landen. Toller Forscher. Was den dazu bewegt hat?? Wollte vielleicht mal in die Zeitung? ??
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.