全球最大的已泄漏密碼庫現可公開訪問下載:你的密碼有人泄漏過嗎?
前不久美國國家標準和技術協會(NIST)發布《數字身份驗證指南(DAG)》的最新草案,建議企業定期檢查用戶是否使用了已泄漏密碼。
NIST說得很委婉,他們其實可以明確地說,不應讓用戶使用過去曾被泄漏的密碼,不應使用弱密碼。這樣說的原因顯而易見,現在互聯網上利用已泄漏密碼進行撞庫攻擊實在太普遍了。
因為運營「have i been pwned?」,一個專門披露泄漏事件和幫助用戶確認密碼是否泄漏的賬號安全網站,站長Troy Hunt看到NIST指南時很有感觸,他決定幫助企業去落實這項建議。
Troy Hunt推出名為「Pwned Passwords」的歷史泄漏密碼查詢服務,用戶可以搜索某個密碼是否曾經泄漏過,或者直接下載整個庫——約3.06億個密碼,用來保護自己的賬號體系。
密碼來源?
在做「Pwned Passwords」時,Troy Hunt明確了兩條原則:不要把它變成二次泄漏;不要對正在使用已泄漏密碼的用戶不利。因此,不提供明文密碼,某些來源的數據不能使用。
博主從各種來源尋找聚合密碼,首先是Exploit.in,這個俄羅斯黑客網站上有8億行郵箱密碼數據,裡邊去重後有近6億個郵箱、近2億個密碼。這份數據里75%以上的密碼都用過不止一次。
博主繼續分析Anti Public list,一份今年5月被披露的黑客零售社工庫,總共有5.6億行郵箱密碼數據,去重後有4.5億個郵箱。Anti Public list的密碼和Exploit.in重合度很高,只有不到1/5的密碼是未出現過的,將近一億條。
此後,博主還整合了許多其它來源的數據,但新密碼的比例越來越低。他曾經添加一份數千萬的泄漏數據,但裡邊只有一個新密碼。
當整個工作告一段落時,博主聚合了3.06億個不重合泄漏密碼庫。
如何使用?
和「have i been pwned?」一樣,「Pwned Passwords」也提供查詢服務。你可以使用密碼直接查詢,也可以使用密碼的SHA1值查詢,甚至Troy Hunt還提供API調用批量查詢。
當然,查詢只會得到「是否泄漏」的判斷,沒有其它額外信息,也避免了二次泄漏風險。
Troy Hunt還提供下載服務,「Pwned Passwords」打包成7z格式有5.3GB,在網上提供這麼大文件的無限制下載服務,是非常昂貴的,流量費嘩啦啦的漲。博主使用Azure存儲、Cloudflare CDN,不知道開銷後邊能不能承擔誒。
結語
既然都看到這裡了,大家想必是感興趣的,不如直接訪問查詢吧:
https://haveibeenpwned.com/Passwords
點擊展開全文
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※一次對惡意郵件分析並拿下其贖金伺服器的溯源
※Apple Pay移動支付也不安全?交易可被竊聽篡改
※寶馬,福特等多款品牌車輛TCUs存漏洞,可導致遠程執行任意代碼
※美國政府擬立法改進物聯網安全:禁止硬編碼密碼、已知漏洞必須修復
TAG:嘶吼RoarTalk |
※蘋果遭遇史上最嚴厲的泄密:自家的iOS源代碼居然泄漏了
※全球最危險核電站:已過退役時間卻仍在使用,隨時都有可能核泄漏
※頭髮泄漏的秘密
※國際空間站出現泄漏,已被封堵
※蘋果數據泄漏:內鬼頻出,這是庫克的錯嗎?
※什麼是泄漏天機?泄漏天機真的不好?
※全球最危險的核電站:核反應無法人工終止,隨時都有可能核泄漏!
※國際空間站出現了泄漏,已使用膠帶封住
※雙11核心機密泄漏,快看,馬上刪!
※泉港碳九泄漏事件最新進展來了!危害到底有多大?答案都在這了
※多數數據泄漏是內鬼所為:售價驚人!誰在盯著我們的隱私?
※人眼睛看不到,但對手能看到-遠距離和非視線光泄漏的泄密隱患簡介
※關閉定位也不管用:手機能秘密泄漏你的行蹤
※忘帶鑰匙也不怕!7種方式開門,防偷窺鍵盤,拒絕泄漏隱私
※7.73億郵件帳號密碼泄漏,你的密碼可能就在其中!
※蘋果又出漏洞,大量女明星「隱私」泄漏
※蘋果發布會還沒開,四個重要信息泄漏,一睹為快
※火影忍者史上最強的情報刺探,完全泄漏了己方的秘密!
※這些風水布局,泄漏了你家的天機!
※蘋果有史以來泄密最嚴重的一次 跪求全網刪除iOS泄漏源代碼