Menü
Security

Gestohlene Dropbox-Passwörter offenbar echt

Die jetzt aufgetauchten Dropbox-Passwörter sind anscheinend echt; ein Test verrät, ob das eigene dabei war. Wer in den letzten Jahren sein Passwort für den Cloud-Speicherdienst nicht geändert hat, sollte das schleunigst tun.

Von
vorlesen Drucken Kommentare lesen 249 Beiträge
Gestohlene Dropbox-Passwörter offenbar echt

(Bild: dpa, Armin Weigel/Archiv)

Die kürzlich aufgetauchten Dropbox-Passwörter sind offenbar echt, wie Selbst-Tests von Betroffenen zeigen. Mitte 2012 waren Dropbox rund 68 Millionen Passwörter abhanden gekommen. Zum Glück hatte der Cloud-Dienstbetreiber die Passwörter nur als Hashes gespeichert.

"Have I been pwned" erklärt auch, in welchem Kontext eine Mail-Adresse und das zugehörige Passwort aufgetaucht ist.

Da jedoch etwa die Hälfte nur als einfacher SHA1-Hash mit Salt gesichert ist, besteht trotzdem eine realistische Gefahr, dass auch gute Passwörter geknackt werden. SHA-1-Hashes lassen sich so schnell berechnen, dass Cracker selbst gute Passwörter recht einfach knacken können (siehe dazu Die Passwortknacker; Ein Blick hinter die Kulissen der Cracker). Die andere Hälfte wurde mit bcrypt gesichert, was den State-of-the-Art markiert und das Knacken von halbwegs guten Passwörtern weitgehend aussichtslos, weil immens zeitraubend gestaltet.

Dropbox hat alle Kunden, die ihr Passwort seit 2012 nicht geändert haben kürzlich per E-Mail angeschrieben und zum Passwort-Wechsel aufgefordert. Es ist jedoch zu befürchten, dass diese Mail (wie beim Autor) dem antrainierten Spam-Filter zum Opfer gefallen ist und einfach ignoriert wurde. Zusätzlich fordert Dropbox zum Passwort-Wechsel auf, wenn man sich auf deren Web-Site anmeldet; da jedoch alle Apps klaglos weiter funktionieren, besteht kein Anlass, die Web-Site aufzusuchen.

Der Dienst Have I been pwned ist anscheinend ebenfalls in Besitz der kompromittierten Datensätze gelangt und bietet damit einen Selbsttest an. Wird die eingegebene E-Mail-Adresse gefunden, erhält man Warnungen, die auch jeweils angeben, in welchem Datensatz sie auftauchte. Leider kann man dieser Warnung nicht entnehmen, ob das Passwort nur durch SHA1 oder schon durch bcrypt gesichert war. (ju)