Bei Linkedin wurden Kennwörter offensichtlich über Jahre hinweg lediglich als sogenanntes Hash – eine Form der Prüfsumme – gespeichert. Das ist gängig, gängig ist jedoch auch, das eigentliche Kennwort vor dieser Umwandlung durch Anfügen zusätzlicher Zeichenketten zu “versalzen” und erst dann das Hash zu bilden. Weil Kennwörter bei Linkedin eben nicht mit diesem “Salt” ausgestattet waren, haben Cracker nun einen gewaltigen Spaß dabei, eine abgezogene Liste mit 117 Millionen Datensätzen, bestehend aus E-Mailadressen und Kennwort-Hashes, zu analysieren und die ursprünglichen Kennwörter zu ermitteln.
Linkedin hat derweil die Echtheit der gestohlenen Daten bestätigt und empfiehlt seinen Nutzern, die Anmeldung mit zweistufiger Überprüfung zu nutzen. Dazu wird, ähnlich wie beim PIN/TAN-Verfahren der Banken ein Code an eine Handynummer geschickt. Wer dieses Verfahren nicht nutzen möchte, sollte unbedingt ein neues und komplexes Kennwort einsetzen.
*) Jetzt nicht mehr.