Beveiligingsonderzoeker Troy Hunt heeft een 8,8GB groot bestand online gezet dat ruim 500 miljoen gehashte wachtwoorden bevat. Hunt is de man achter Have I Been Pwned. Een zoekmachine waarmee gebruikers in bijna 4,9 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen.
De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Hunt maakt gegevens uit datalekken normaliter niet openbaar. Vorig jaar besloot hij echter om voor het eerst wachtwoordhashes beschikbaar te maken. Aanleiding was een advies van het Amerikaanse National Institute of Standards and Technology dat organisaties gebruikers moeten waarschuwen als ze een wachtwoord kiezen dat ooit bij een datalek is gelekt.
Websites kunnen de dataset van Hunt gebruiken om gebruikers te waarschuwen als ze een wachtwoord kiezen dat ooit bij een datalek op straat is komen te liggen. Het gaat dan bijvoorbeeld om wachtwoorden als 123456 en password. Ook kan de dataset worden gebruikt om op de sha-1-hash van een wachtwoorden te zoeken. Iets waarvoor Hunt een programmeerinterface (api) heeft ontwikkeld. Daarbij heeft de onderzoeker samen met Cloudflare een techniek toegepast die de anonimiteit van gebruikers moet beschermen. De dataset is ook te gebruiken om wachtwoorden offline te checken
In vergelijking met de dataset van vorig jaar bevat de nieuwe dataset met 500 miljoen wachtwoordhashes ook een getal hoe vaak de hash voorkomt in de database van Have I Been Pwned met de bijna 4,9 miljard records. De 500 miljoen unieke wachtwoordhashes blijken in totaal 3 miljard keer voor te komen. "In andere woorden, gemiddeld komt elk wachtwoord zes keer voor in verschillende datalekken", aldus de onderzoeker. "In sommige gevallen komt hetzelfde wachtwoord vele malen terug in een datalek. Vaak duizenden keren, wat aangeeft hoeveel mensen hetzelfde wachtwoord kiezen."
Deze posting is gelocked. Reageren is niet meer mogelijk.