Beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned heeft een nieuwe versie van zijn "Pwned Passwords" dataset beschikbaar gemaakt. Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn gestolen.
Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben.
De eerste versie van Pwned Passwords bestond uit 306 miljoen wachtwoordhashes. Met de lancering van versie 6 is dat naar 572 miljoen wachtwoordhashes gestegen, een toename van 17,3 miljoen wachtwoorden ten opzichte van versie 5 die een jaar geleden uitkwam. Naast de hash van het wachtwoord wordt ook aangegeven hoe vaak het wachtwoord in de betreffende datalekken is voorgekomen. De dataset is als bestand te downloaden, maar ook door websites online te gebruiken. Die kunnen gebruikers zo waarschuwen als ze een wachtwoord kiezen dat in de dataset voorkomt en daardoor kwetsbaarder voor aanvallen is.
In eerste instantie bestond de dataset alleen uit SHA-1-wachtwoordhashes. Hunt kreeg echter het verzoek om de dataset met wachtwoordhashes ook als NTLM-hashes aan te bieden. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund.
Door de gestolen wachtwoorden als NTLM-hashes beschikbaar te maken kunnen Active Directory-beheerders kijken of die hashes met de wachtwoordhashes in hun AD-omgeving overeenkomen. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.