mboost-dp1

SXC - gusmolina

Pwned Passwords er opdateret: Nu 500 millioner lækkede passwords

- Via Version2 - , indsendt af Ufomekaniker

Til hjælp for både privatpersoner og virksomheder har ekspert i websikkerhed, Troy Hunt, udgivet en ny version af tjenesten Pwned Passwords, hvor man nu hurtigt kan tjekke, om ens password er en del af mere end 500 millioner af verdens mange lækkede passwords.

Første version af tjenesten indeholdt 306 millioner lækkede passwords, hvilket nu er opgraderet til 501 millioner sammen med tjenestens hastighed og sikkerhed.

Tjenesten er bygget på hashværdier af de lækkede passwords og er således krypteret i SHA1-format. Dette er for at gøre det muligt at søge efter koderne, men samtidig sørge for at de ikke er umiddelbart læsbare.

I Version 1 anbefalede Hunt, at man ikke indtastede aktive kodeord i tjenesten, da man aldrig bør indtaste sit password på en tredjeparts-side. Det gjorde brugerne alligevel.

Derfor har Hunt i Version 2 gjort sådan, at tjenesten ikke får tilsendt hele kodeordets hashværdi, men kun en del af den.

I denne anden version er der også kommet en funktion, hvor man kan se hvor mange gange et password optræder i diverse læk. Eksempelvis optræder passwordet “password” 3.303.003 gange.

Man kan selv downloade listen med de krypterede passwords samt tjekke sit password på tjenesten her.





Gå til bund
Gravatar #1 - Ib Rehné
1. mar. 2018 13:24
Version2 har også en guide til at tjekke kodeord lokalt: https://www.version2.dk/artikel/tjek-dit-password-...
Gravatar #2 - Hånter
1. mar. 2018 16:52
... er det kun mig der kunne se det sjove i at Hunt blev hacket, og alle passwords der er indtastet, bliver frigivet?

Jaja - der mangler selvfølgelig brugernavne/login - men alligevel!
Gravatar #3 - Qw_freak
1. mar. 2018 18:57
#2


Der er en vis ironi i det, især nu da de kan komme først i prøve-koder-af biblioteket.
Gravatar #4 - Ufomekaniker
1. mar. 2018 20:08
Bliver koden overhovedet sendt til serveren når nu det kun er en hash værdi der skydes afsted? Eller har jeg misforstået nogen?
Gravatar #5 - Ib Rehné
1. mar. 2018 20:44
#4
Det er ikke en gang den fulde hash værdi der sendes til serveren. Klient koden sender kun de først 5 tegn fra det hexidecimal-encoded password hash til serveren. Serveren svarer så med en liste over hashes som starter med disse 5 tegn. Klienten kan så gennemgå denne relativt korte liste og fremfinde hashen for kodeordet, hvis altså det er et kendt password.
Gravatar #6 - PHP-Ekspert Thoroughbreed
5. mar. 2018 06:05
Mine to primære koder er blevet pwned hhv 4 og 21 gange.
Tager jeg en af de random koder jeg bruger, så er tallet 47.000

Nå, måske sku' jeg skifte kode når jeg engang husker det.
Gravatar #7 - Qw_freak
5. mar. 2018 07:31
DEr er heldigvis ikke nogen af mine primære koder i bunken, men derimod er der tusinder af mine ligegyldige koder...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login