Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса «Pwned Passwords», нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей, которые доступны в открытом виде, а не только в форме хэшей.

Используемая в сервисе полная база паролей доступна для загрузки, размер БД составляет 8.8 Гб в сжатом виде (7-Zip, torrent). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль. Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов, т.е. каждый пароль в среднем встречается 6 раз.

На сайте также имеется форма для online-поиска в базе паролей. По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого. Но общая польза от такой формы проверки перевешивает имеющиеся угрозы — большое число ранее скомпрометированных пользователей, получив информацию, что пароль встречается в базе, скорее всего поменяет пароль и пересмотрят отношение к безопасности (если пользователь отправил свой настоящий пароль через стороннюю web-форму, то найдётся множество других способов скомпрометировать его). Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем.

©  OpenNet