De FBI gaat hashes van gestolen wachtwoorden die het bij onderzoeken tegenkomt delen met Have I Been Pwned, zo laat beveiligingsonderzoeker Troy Hunt weten, de man achter de datalekzoekmachine. De hashes worden beschikbaar gemaakt via de "Pwned Passwords" dataset van de zoekmachine en verschilt van de normale zoekfunctie waarbij gebruikers door het invoeren van hun e-mailadres kunnen controleren of accounts zijn gecompromitteerd. Pwned Passwords is een verzameling van wachtwoordhashes die bij websites zijn buitgemaakt.
Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben.
Pwned Passwords telt ruim 613 miljoen wachtwoordhashes. De dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun Active Directory-omgeving. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen. De FBI zal zowel SHA-1- als NTLM-hashes van de wachtwoorden aan Have I Been Pwned aanleveren. Hunt zegt dat hij de wachtwoorden niet in plaintext nodig heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.