Troy Hunt, beheerder van website Have I Been Pwned, heeft een database met 306 miljoen gehashte wachtwoorden beschikbaar gesteld. Een doel daarvan is dat websites kunnen voorkomen dat mensen zich nogmaals registeren met een wachtwoord dat eerder is uitgelekt.
Het bestand van 5,3GB met wachtwoorden is in zijn geheel te downloaden, maar het is voor gebruikers ook mogelijk om op een nieuwe Password-pagina op de Have I Been Pwned-website een wachtwoord op te zoeken. Zo kunnen ze zien of een bepaald wachtwoord bij een eerdere hack is buitgemaakt. De beheerder van de website benadrukt dat het nooit is aanbevolen om wachtwoorden in te voeren die nog actief gebruikt worden, ook niet op zijn pagina. Het was al mogelijk om op zijn site te zoeken op e-mailadres of gebruikersnaam.
In een blogpost legt beveiligingsonderzoeker Troy Hunt uit waarom hij de wachtwoorden online heeft gezet. Hij doet dat onder andere omdat het NIST websites waar authenticatie is vereist aanbeveelt om gebruikers niet de mogelijkheid te geven een wachtwoord te kiezen dat eerder is uitgelekt. Door de gehashte wachtwoorden beschikbaar te stellen, kunnen websites bijvoorbeeld bij hun aanmeldprocedures een blacklist inbouwen waardoor eerder uitgelekte wachtwoorden niet meer gebruikt kunnen worden.
De 306 miljoen wachtwoorden in de database zijn een verzameling die Troy Hunt heeft samengesteld uit eerdere lekken. Het gaat voornamelijk om 'vreselijk slechte' wachtwoorden. Volgens Hunt benadeelt het beschikbaar stellen van de wachtwoorden gebruikers in geen enkele vorm, omdat ze niet in platte tekst worden weergeven en niet gekoppeld zijn aan bijvoorbeeld e-mailadressen of gebruikersnamen. Hij heeft alle wachtwoorden met sha-1 gehasht, voornamelijk omdat hij niet wil dat criminelen de database gebruiken als een hulpmiddel om bruteforce-aanvallen uit te voeren.