Специалист в области информационной безопасности и автор сайта проверки учетных записей на взлом/утечку пароля haveibeenpwned.com Трой Хант (Troy Hunt) представил новый сервис. Теперь каждый может проверить не присутствует ли конкретный пароль в одной из многочисленных баз паролей.
Трой провел большую работу по сбору паролей, которые стали доступны в результате разных утечек и взломов и сделал свою базу, состоящую только из уникальных хэшэй этих паролей. На данный момент база насчитывает 306 миллионов уникальных паролей.
Проверить свой пароль можно по ссылке. Трой заработал хорошую репутацию и, пожалуй, ему можно доверять, когда он говорит, что не собирает никакие данные по запросам пользователей, но я рекомендую такие проверки проводить только локально, без запросов на внешние сервисы, какими бы доверенными они не были. Для этого Трой выложил архив размером 5.3ГБ (11.9ГБ после распаковки). Архив доступен по ссылке на той же странице. Если же вы решитесь использовать на своем сайте сервис проверки паролей, то для него существует документированное API.
Объяснение того, почему файл состоит из хэшэй, а не из самих паролей достаточно простое: Чтобы не давать возможности злоумышленникам использовать этот файл как словарь для подбора. Для проверки пароля локально нужно посчитать его хэш SHA1 и поискать совпадения с присутствующими в базе.
Использовать базу паролей можно для проверки придуманного пользователем пароля в момент регистрации. Можно сообщать, пользователю при очередном входе, что его пароль обнаружен среди утекших в открытый доступ и предлагать сменить пароль.
Автор сам анонсировал появление этой базы и описал все более детально в своем блоге.
Автор: Лунтик