Beveiligingsonderzoeker Troy Hunt heeft een nieuwe functie toegevoegd aan zijn website Have I Been Pwned. Met de tool Pwned Passwords kunnen bezoekers controleren of hun wachtwoord terug is te vinden is in een gelekte database. Via de website was het al mogelijk om te controleren of e-mailadressen of gebruikersnamen zijn gelekt.
Met de nieuwe tool wil Hunt het gebruik van slechte en veelvoorkomende wachtwoorden ontmoedigen. Pwned Password bevat in totaal ruim 306 miljoen unieke wachtwoorden. Zodra een ingevoerd wachtwoord overeenkomt met een wachtwoord uit de database, krijgt de gebruiker de melding dat hij ‘pwned’ is. Het advies: verander dit wachtwoord als je het ooit gebruikt hebt en gebruik het in de toekomst nooit meer.
Hunt adviseert om nooit een wachtwoord in te voeren dat je op dat moment zelf gebruikt. Er bestaat namelijk altijd het risico dat je input onderschept wordt, waarna je account mogelijk gevaar loopt.
Als een wachtwoord dat je invoert niet wordt gevonden in Pwned Passwords, betekent het overigens niet dat het een goed wachtwoord is. Ook geeft het niet de zekerheid dat dit wachtwoord nooit gelekt is. Het betekent alleen dat dit wachtwoord niet voorkomt in de database van Have I Been Pwned.
Hash
De ruim 306 miljoen wachtwoorden in de database zijn met een hash opgeslagen. Met een hashfunctie wordt een wachtwoord omgezet in een ‘onleesbare’ reeks cijfers en getallen. De reden daarvoor is dat wachtwoorden soms terug kunnen leiden naar gebruikersnamen, e-mailadressen of andere persoonlijke gegevens. Omdat Hunt de wachtwoorden ook als download beschikbaar heeft gemaakt, zou het opslaan van de ‘echte’ wachtwoorden risico’s met zich meebrengen.
Om de ‘echte’ wachtwoorden te beschermen, heeft Hunt het hash-algoritme SHA1 op de database losgelaten. Naast het invoeren van het wachtwoord (zoals ‘hallo’), kun je als gebruiker ook de SHA1-hash van het wachtwoord invoeren. Het wachtwoord ‘hallo’ wordt met een SHA1-hash bijvoorbeeld fd4cef7a4e607f1fcc920ad6329a6df2df99a4e8. Zowel bij het invoeren van ‘hallo’ als het resultaat van de SHA1-hash, geeft Pwned Passwords aan dat dit wachtwoord in de database voorkomt.
Door de wachtwoorden als download beschikbaar te maken, hoopt Hunt dat websitebouwers gebruikers kunnen waarschuwen als ze gelekte wachtwoorden gebruiken. Mocht een gebruiker op een bepaalde website een wachtwoord invoeren dat in de database voorkomt, dan kan de website hem adviseren om een ander wachtwoord te kiezen.