Last.fm verliert 2,5 Millionen Nutzerpasswörter

Was haben das Netzwerk Linkedin, die Datingsite eHarmony und das Musikportal Last.fm gemeinsam? Alle wurden kompromittiert und Teile der Datenbank im Web veröffentlicht. Das neuste Opfer Last.fm spricht nun in einem Blogbeitrag von einem "Leak einiger Nutzerpasswörter".

Heise.de konkretisiert, was "einige Nutzerpasswörter" heisst: Rund 2,5 Millionen Passwort-Hashes sollen als "ungesalzene MD5-Hashes" im Netz gelandet sein. Dies bedeutet, dass sie mithilfe von Rechenpower und sogenannten Rainbow Tables geknackt werden können.

Rainbow Tables enthalten Passwörter mit Hash-Werten und sind oft mehrere Terabyte gross. Füttert man diese mit einem Hash, spucken sie Passwörter im Klartext aus. Dies funktioniert allerdings nur, wenn diese ohne "Salt" abgelegt wurden. Ein "Salt" ist eine zufällige Zeichenkette, die dem Passwort vor der Berechnung des Hash-Werts hinzugefügt wird. Je länger diese ist, desto schwieriger wird eine Entschlüsselung des Passworts.

Last.fm hat versprochen, Nutzer auf Twitter auf dem Laufenden zu halten.