De Britse politie heeft ruim 585 miljoen wachtwoorden die het bij onderzoeken heeft aangetroffen gedeeld met datalekzoekmachine Have I Been Pwned (HIBP). Beveiligingsonderzoeker Troy Hunt, de man achter HIBP, heeft de hashes van deze wachtwoorden nu beschikbaar gemaakt. Ook wachtwoorden die de FBI aantreft zijn voortaan via de "Pwned Passwords" dataset van Have I Been Pwned beschikbaar.

Via HIBP kunnen internetgebruikers door het invoeren van hun e-mailadres controleren of accounts zijn gecompromitteerd. Naast deze zoekfunctie biedt de zoekmachine ook Pwned Passwords, een verzameling van wachtwoordhashes die bij websites zijn buitgemaakt. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt.

De hash wordt in de database opgeslagen. Dit voorkomt dat als bijvoorbeeld een website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben.

Eerder dit jaar werd bekend dat de FBI van plan was om wachtwoordhashes via Pwned Passwords beschikbaar te stellen. Enige tijd geleden kwam Hunt in gesprek met het Britse National Crime Agency (NCA), dat net als de FBI bij onderzoeken ook allerlei gecompromitteerde wachtwoorden aantreft. Het NCA heeft nu besloten om deze wachtwoorden met Hunt te delen.

Het ging om ruim 585 miljoen wachtwoorden. Verdere analyse door Hunt wees uit dat ruim 225 miljoen wachtwoorden hiervan nog niet in de Pwned Passwords-dataset voorkwamen. De hashes van deze wachtwoorden zijn nu aan de nieuwste versie van de dataset toegevoegd en voor iedereen beschikbaar. Het totaal aantal wachtwoordhashes in Pwned Passwords komt daarmee uit op 847 miljoen.

De dataset is zowel te downloaden als online te doorzoeken en laat onder andere zien hoe vaak een wachtwoord in datalekken voorkomt. Daarnaast kunnen beheerders via de wachtwoordhashes kijken of die overeenkomen met de wachtwoordhashes in hun Active Directory-omgeving. Vervolgens kunnen er bijvoorbeeld maatregelen genomen worden om gebruikers een ander wachtwoord te laten kiezen.