Pwned Passwords 2.0出炉,集成了超过5亿笔外泄密码,可让用户输入个人密码,以检查所使用的密码是否安全。
澳洲安全专家Troy Hunt在上周发布了Pwned Passwords 2.0版,它搜集了更多外泄的帐号与密码,可让用户检查自己所设置的密码是否安全,密码管理服务1Password本周即宣布将集成Pwned Passwords 2.0。
Pwned Passwords为Have I Been Pwned(HIBP)服务的功能之一,HIBP服务可让用户检查自己的个人帐号是否在外泄名单中,Pwned Passwords即是该服务所使用的外泄密码数据库,去年发布的Pwned Passwords 1.0含有逾3.2亿笔外泄密码,最新的Pwned Passwords 2.0则增加到逾5亿笔。
此外,Pwned Passwords 2.0含有一新功能,会在每一笔外泄密码之后显示该密码总计出现多少次,例如在该数据库中,abc123总计出现超过260万次。
虽然这些密码都已经曝光了,但该密码数据库具有重要的参考价值,可让用户检验自己所使用的密码安全性,例如Hunt建议用户采用出现次数低于20次的密码。
1Password本周即宣布在自家网站上集成Pwned Passwords 2.0,用户登录1Password后,即可选择各个帐号的密码来查看密码强度,系统会调用Pwned Passwords 2.0进行比对,也计划将该功能集成至1Password行动程序中。
为了保护隐私与安全性,在1Password与Pwned Passwords 2.0数据库进行比对的过程中,1Password会先以SHA-1加密用户密码,但只发送当中的前5个字符到Pwned Passwords 2.0,Pwned Passwords 2.0即会回传符合前5个字符的所有密码,再于1Password端进行比对。
1Password表示,在Pwned Passwords 2.0数据库中发现自己的密码并不代表用户的帐号被黑了,可能只是那些被黑帐号采用了同样的密码,但仍然建议用户变更密码。
领取专属 10元无门槛券
私享最新 技术干货