全球最大的已泄漏密碼庫現可公開訪問下載：你的密碼有人泄漏過嗎？

前不久美國國家標準和技術協會（NIST）發布《數字身份驗證指南（DAG）》的最新草案，建議企業定期檢查用戶是否使用了已泄漏密碼。

NIST說得很委婉，他們其實可以明確地說，不應讓用戶使用過去曾被泄漏的密碼，不應使用弱密碼。這樣說的原因顯而易見，現在互聯網上利用已泄漏密碼進行撞庫攻擊實在太普遍了。

因為運營「have i been pwned?」，一個專門披露泄漏事件和幫助用戶確認密碼是否泄漏的賬號安全網站，站長Troy Hunt看到NIST指南時很有感觸，他決定幫助企業去落實這項建議。

Troy Hunt推出名為「Pwned Passwords」的歷史泄漏密碼查詢服務，用戶可以搜索某個密碼是否曾經泄漏過，或者直接下載整個庫——約3.06億個密碼，用來保護自己的賬號體系。

密碼來源？

在做「Pwned Passwords」時，Troy Hunt明確了兩條原則：不要把它變成二次泄漏；不要對正在使用已泄漏密碼的用戶不利。因此，不提供明文密碼，某些來源的數據不能使用。

博主從各種來源尋找聚合密碼，首先是Exploit.in，這個俄羅斯黑客網站上有8億行郵箱密碼數據，裡邊去重後有近6億個郵箱、近2億個密碼。這份數據里75%以上的密碼都用過不止一次。

博主繼續分析Anti Public list，一份今年5月被披露的黑客零售社工庫，總共有5.6億行郵箱密碼數據，去重後有4.5億個郵箱。Anti Public list的密碼和Exploit.in重合度很高，只有不到1/5的密碼是未出現過的，將近一億條。

此後，博主還整合了許多其它來源的數據，但新密碼的比例越來越低。他曾經添加一份數千萬的泄漏數據，但裡邊只有一個新密碼。

當整個工作告一段落時，博主聚合了3.06億個不重合泄漏密碼庫。

如何使用？

和「have i been pwned?」一樣，「Pwned Passwords」也提供查詢服務。你可以使用密碼直接查詢，也可以使用密碼的SHA1值查詢，甚至Troy Hunt還提供API調用批量查詢。

當然，查詢只會得到「是否泄漏」的判斷，沒有其它額外信息，也避免了二次泄漏風險。

Troy Hunt還提供下載服務，「Pwned Passwords」打包成7z格式有5.3GB，在網上提供這麼大文件的無限制下載服務，是非常昂貴的，流量費嘩啦啦的漲。博主使用Azure存儲、Cloudflare CDN，不知道開銷後邊能不能承擔誒。

結語

既然都看到這裡了，大家想必是感興趣的，不如直接訪問查詢吧：

https://haveibeenpwned.com/Passwords

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！