Beveiligingsonderzoeker Troy Hunt heeft een verzameling van 306 miljoen gehashte wachtwoorden beschikbaar gemaakt, die websites bijvoorbeeld kunnen gebruiken om gebruikers voor bepaalde wachtwoorden te waarschuwen. Hunt is de man achter Have I Been Pwned. Een zoekmachine waarmee gebruikers in bijna 4 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen.
De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Hunt maakt gegevens uit datalekken normaliter niet openbaar. Het Amerikaanse National Institute of Standards and Technology adviseerde onlangs dat organisaties gebruikers moeten waarschuwen als ze een wachtwoord kiezen dat ooit bij een datalek is gelekt. Naar aanleiding van dit advies besloot Hunt een deel van de wachtwoordhashes die hij bezit en uit verschillende datalekken afkomstig zijn, te anonimiseren en openbaar te maken. Zelf noemt de onderzoeker deze dataset de "Pwned Passwords".
Websites kunnen de data gebruiken om gebruikers te waarschuwen als ze een wachtwoord kiezen dat in de dataset voorkomt. Het gaat dan bijvoorbeeld om wachtwoorden als 123456 en password. Ook kan de dataset worden gebruikt om op de sha-1-hashes van de wachtwoorden te zoeken. Iets waarvoor Hunt een programmeerinterface (api) heeft ontwikkeld. De dataset is ook te gebruiken om wachtwoorden offline te checken. Het gaat om een 7-Zip-bestand met een omvang van 5,3GB, dat uitgepakt 11,9GB aan ruimte in beslag neemt.
Deze posting is gelocked. Reageren is niet meer mogelijk.