Создатель сервиса для проверки скомпрометированных учётных записей Трой Хант опубликовал базу, содержащую 501 636 842 актуальных пользовательских пароля, выуженных из 269 сайтов, включая LinkedIn, MySpace и Badoo.
Pwned Passwords
Сайт Pwned Passwords предлагает пользователям ввести свой пароль для проверки по накопленной базе данных. По словам Ханта, он не перестаёт удивляться людям, без задней мысли раскрывающим свои рабочие учётные данные сторонним сервисам.
У сервиса доступен API, через который можно проверить пароли напрямую через ввод пароля или префикса хэша в адресной строке. Если введённый набор символов найден в базе, сервер возвращает целое число / реальный хэш. В противном случае возвращается сообщение об ошибке.
Поиск по паролю:
https://api.pwnedpasswords.com/pwnedpassword/{password}
Поиск по префиксу хэша (хэши не чувствительны к регистру и выводятся уже без префикса):
https://api.pwnedpasswords.com/range/{hashPrefix}
Бесплатная база паролей размером в 8,8 ГБ открыта для загрузки. Единственное ограничение — пароли в общедоступных данных заменены хэшами SHA-1, чтобы по ним нельзя было идентифицировать пользователей. В таблицах также не содержится длина пароля, но зато у каждого указан счётчик дубликатов, демонстрирующий количество учётных записей, в который этот кодовый набор символов был использован.
А какие кодовые слова точно найдутся в этой БД — без дополнительных проверок скажет топ-100 худших паролей 2017 года.
Источник: блог Троя Ханта
