60 Prozent der LinkedIn-Passwörter geknackt

Nach einer Analyse der über 100 Megabyte großen Hash-Liste kommt Sophos auf 5,8 Millionen eindeutige Passwort-Hashes, von denen wiederum 3,5 Millionen bereits geknackt wurden und bereits im Klartext im Netz auftauchten. Sophos zufolge sei es wohl nur eine Frage der Zeit, bis auch alle restlichen Passwörter der aufgetauchten Liste entschlüsselt würden. LinkedIn selbst hat den Vorfall erstmals bestätigt, sprach nebulös allerdings nur von einigen Passwörtern, die kompromittiert wurden.

Schlechte Sicherheitsmaßnahmen
Kritisiert wird vor allem, dass LinkedIn offenbar auf das unspektakuläre Hashing-Protocol SHA-1 setzte und auf zusätzliche Sicherheitsmethoden bei der Verschlüsselung verzichtete. Um die verschlüsselte Speicherung von Passwörtern sicherer zu gestalten kommt laut Sophos vielerorts ein Vorgang namens „Salting“ zum Einsatz. Dabei wird dem vom User gewählten Passwort vor dem Hashing-Vorgang eine zufällig gewählte Reihe von Buchstaben und Ziffern angehängt.

„Dass so eine große Organisation wie LinkedIn nur SHA-1 zur Passwort-Sicherung verwendet, ist enttäuschend“, wird Sophos-Sicherheitsexperte Chester Wisniewski von Computerworld zitiert. Laut LinkedIn wurde der Zugang zu kompromittierten Profilen bereits gesperrt. Falls User ihr LinkedIn-Passwort auch bei anderen Services verwenden, sollten auch bei diesen das Passwort geändert werden.