Опубликовано более полумиллиарда паролей от взломанных учётных записей

Pwned Passwords: иллюстрация: "электронный" ключ

Создатель сервиса для проверки скомпрометированных учётных записей Трой Хант опубликовал базу, содержащую 501 636 842 актуальных пользовательских пароля, выуженных из 269 сайтов, включая LinkedIn, MySpace и Badoo.

Pwned Passwords

Сайт Pwned Passwords предлагает пользователям ввести свой пароль для проверки по накопленной базе данных. По словам Ханта, он не перестаёт удивляться людям, без задней мысли раскрывающим свои рабочие учётные данные сторонним сервисам.

Pwned Passwords: поле для ввода пароля, подлежащего проверке

У сервиса доступен API, через который можно проверить пароли напрямую через ввод пароля или префикса хэша в адресной строке. Если введённый набор символов найден в базе, сервер возвращает целое число / реальный хэш. В противном случае возвращается сообщение об ошибке.

Поиск по паролю:

https://api.pwnedpasswords.com/pwnedpassword/{password}

 

Поиск по префиксу хэша (хэши не чувствительны к регистру и выводятся уже без префикса):

https://api.pwnedpasswords.com/range/{hashPrefix}

Pwned Passwords: Успешный результат поиска по хэшу

Бесплатная база паролей размером в 8,8 ГБ открыта для загрузки. Единственное ограничение — пароли в общедоступных данных заменены хэшами SHA-1, чтобы по ним нельзя было идентифицировать пользователей. В таблицах также не содержится длина пароля, но зато у каждого указан счётчик дубликатов, демонстрирующий количество учётных записей, в который этот кодовый набор символов был использован.

А какие кодовые слова точно найдутся в этой БД — без дополнительных проверок скажет топ-100 худших паролей 2017 года.

Источник: блог Троя Ханта

Ещё интересное для вас:
— Тест «Насколько хорошо вы разбираетесь в C#?»
— Блиц-тест «Настоящий ли ты фронтендер?»
— Меньше готовить, больше кодить: обзор питания с доставкой на дом.