Beveiligingsonderzoeker Troy Hunt, bekend van zijn site Have I Been Pwned, heeft zijn bestaande dataset van 306 miljoen uitgelekte wachtwoorden uitgebreid met nog eens 200 miljoen wachtwoorden. Organisaties kunnen deze lijsten gebruiken om wachtwoorden te controleren.
Zijn verzameling draagt de naam Pwned Passwords en stelt de wachtwoorden beschikbaar in gehashte vorm. Dat gebeurt aan de hand van het sha-1-algoritme, dat weliswaar niet bijzonder veilig is, maar volgens Hunt voldoende is om te voorkomen dat de plaintextwachtwoorden zomaar zijn te achterhalen. De totale database omvat 8,8GB aan wachtwoorden en bevat daarnaast een teller die per wachtwoord aangeeft hoe vaak dit in de totale verzameling van de onderzoeker voorkomt. Zo komt 'abc123' bijvoorbeeld meer dan 2,5 miljoen keer voor, schrijft Hunt in een blogpost.
Daarin legt hij verder uit dat de toegevoegde wachtwoorden voornamelijk afkomstig zijn uit de dump van de Onliner-spambot, die uit ongeveer 711 miljoen records bestond en naast e-mailadressen ook wachtwoorden bevatte. Daarnaast gebruikte hij een verzameling van 1,4 miljard plaintextinloggegevens, die enige tijd geleden de ronde deden op het dark web, maar daarvoor al beschikbaar waren via torrentlinks op Reddit. Die verzameling was samengesteld uit verschillende datalekken.
De nieuwe verzameling, aangeduid als V2, is direct of via een torrent te downloaden. Hunt roept mensen op dat laatste te doen, omdat hosting van de dataset kostbaar is. Daarnaast heeft de onderzoeker zijn api-pagina bijgewerkt met informatie over het uitlezen van de nieuwe dump. Ook de webdienst, die online kwam bij de eerste variant, is nog steeds te gebruiken. Hunt stelt de wachtwoorden ter beschikking in de hoop dat organisaties die bijvoorbeeld een website beheren, ze gebruiken om mensen te waarschuwen die een wachtwoord gebruiken dat al eens is uitgelekt. Het is niet aan de raden om ergens een wachtwoord in te vullen dat nog actief wordt gebruikt, waarschuwt Hunt.
