Größte Passwort-Liste zum Download verfügbar

Die RockYou Liste gilt als beste Wortliste, um Passwörter zu knacken. Jetzt ist eine 10 Milliarden Einträge lange Liste online gestellt worden.

Größte Passwort-Liste zum Download verfügbar
Photo by Nahel Abdul Hadi / Unsplash

Im Jahr 2009 wurde das Unternehmen RockYou gehackt. Was diesen Vorfall besonders problematisch machte, war die Tatsache, dass alle Passwörter unverschlüsselt und im Klartext gespeichert waren. Die Angreifer konnten die Passwortliste herunterladen und öffentlich zugänglich machen. Diese Sicherheitsverletzung hat die Bedeutung der Verschlüsselung von Passwörtern unterstrichen und dazu geführt, dass viele Unternehmen ihre Sicherheitspraktiken überdachten. Die RockYou-Passwortliste ist seitdem eine wertvolle Ressource für Sicherheitsforscher und Penetrationstester.

Kali Linux und die RockYou-Liste

Kali Linux, eine beliebte Linux-Distribution für Sicherheitszwecke, bietet Passwort-Wörterbuchdateien als Teil der Standardinstallation an. Eine dieser Dateien ist die RockYou-Passwortliste. Diese Datei befindet sich unter folgendem Pfad:

/usr/share/wordlists/rockyou.txt.gz

Um die Datei zu verwenden, muss sie zunächst entpackt werden:

gunzip /usr/share/wordlists/rockyou.txt.gz

Anwendungsbeispiele und Linux-Befehle

Die RockYou-Passwortliste kann für verschiedene Zwecke in der Cyber-Sicherheit verwendet werden, zum Beispiel für das Knacken von Passwörtern bei Penetrationstests oder zur Analyse von Passwortstärken. Hier sind einige konkrete Beispiele, die ich gerne teile:

John the Ripper:

John the Ripper ist ein weit verbreitetes Passwort-Cracking-Tool. Mit der RockYou-Liste kann ich eine Passwort-Cracking-Sitzung starten:

john --wordlist=/usr/share/wordlists/rockyou.txt hashfile.txt

Hydra:

Hydra ist ein weiteres leistungsfähiges Tool, das für Brute-Force-Angriffe verwendet wird. Um Hydra mit der RockYou-Liste zu nutzen, könnte ich folgenden Befehl verwenden:

hydra -l username -P /usr/share/wordlists/rockyou.txt target_ip ssh

Hashcat:

Hashcat ist ein fortschrittliches Passwort-Cracking-Tool, das für seine Effizienz bekannt ist. Mit der RockYou-Liste kann ich folgendes Kommando verwenden:

hashcat -a 0 -m 0 hashes.txt /usr/share/wordlists/rockyou.txt

Aircrack-ng:

Aircrack-ng wird häufig verwendet, um WEP- und WPA/WPA2-Verschlüsselungen in drahtlosen Netzwerken zu knacken. Hier ist ein Beispiel, wie ich die RockYou-Liste dafür nutzen kann:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b [BSSID] [capturefile].cap

CeWL und Crunch:

CeWL und Crunch sind Tools, die benutzerdefinierte Wörterlisten generieren. Ich kann die RockYou-Liste als Basis verwenden und dann mit diesen Tools weiter anpassen. Beispiel:

cewl -w customlist.txt http://example.com
crunch 8 12 -o customlist.txt

Kali-Linux

Kali Linux ist ein Open-Source-Projekt, das von Offensive Security gepflegt und finanziert wird. Offensive Security bietet erstklassige Schulungen und Penetrationstests im Bereich Informationssicherheit an. Dank ihrer Unterstützung sind Ressourcen wie die RockYou-Passwortliste für die Community zugänglich.

Was war die Idee für diese Liste?

Das RockYou-Dataset wurde ursprünglich hochgeladen, um das Studium der MD5-Hash-Entschlüsselung mittels neuronaler Netzwerke zu unterstützen. Die Liste dient heute als wertvolles Werkzeug zur Verbesserung der Sicherheitsstandards und zur Sensibilisierung für die Notwendigkeit sicherer Passwortpraktiken.

Fazit

Die RockYou-Liste bleibt eine entscheidende Ressource in der Welt der Cyber-Sicherheit. Sie bietet wertvolle Einblicke in gängige Passwortmuster und ermöglicht es Sicherheitsforschern und Penetrationstestern, ihre Fähigkeiten zu verbessern und Systeme sicherer zu machen. Durch die Nutzung dieser Liste z.B. in Kali Linux und anderen Tools kann man die Sicherheit der Systeme weiter stärken.

Auch die Analyse mit neuen Werkzeugen aus der Welt der KI zeigt interessante Muster auf, die Menschen bei der Passwortgestaltung nutzen.