全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?-阿里云开发者社区

开发者社区> 玄学酱> 正文

全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

简介: 本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?,前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。
+关注继续查看
本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。

全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

NIST说得很委婉,他们其实可以明确地说,不应让用户使用过去曾被泄漏的密码,不应使用弱密码。这样说的原因显而易见,现在互联网上利用已泄漏密码进行撞库攻击实在太普遍了。

因为运营“have i been pwned?”,一个专门披露泄漏事件和帮助用户确认密码是否泄漏的账号安全网站,站长Troy Hunt看到NIST指南时很有感触,他决定帮助企业去落实这项建议。

Troy Hunt推出名为“Pwned Passwords”的历史泄漏密码查询服务,用户可以搜索某个密码是否曾经泄漏过,或者直接下载整个库——约3.06亿个密码,用来保护自己的账号体系。

密码来源?

在做“Pwned Passwords”时,Troy Hunt明确了两条原则:不要把它变成二次泄漏;不要对正在使用已泄漏密码的用户不利。因此,不提供明文密码,某些来源的数据不能使用。

博主从各种来源寻找聚合密码,首先是Exploit.in,这个俄罗斯黑客网站上有8亿行邮箱密码数据,里边去重后有近6亿个邮箱、近2亿个密码。这份数据里75%以上的密码都用过不止一次。

博主继续分析Anti Public list,一份今年5月被披露的黑客零售社工库,总共有5.6亿行邮箱密码数据,去重后有4.5亿个邮箱。Anti Public list的密码和Exploit.in重合度很高,只有不到1/5的密码是未出现过的,将近一亿条。

此后,博主还整合了许多其它来源的数据,但新密码的比例越来越低。他曾经添加一份数千万的泄漏数据,但里边只有一个新密码。

当整个工作告一段落时,博主聚合了3.06亿个不重合泄漏密码库。

如何使用?

和“have i been pwned?”一样,“Pwned Passwords”也提供查询服务。你可以使用密码直接查询,也可以使用密码的SHA1值查询,甚至Troy Hunt还提供API调用批量查询。

全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

当然,查询只会得到“是否泄漏”的判断,没有其它额外信息,也避免了二次泄漏风险。

Troy Hunt还提供下载服务,“Pwned Passwords”打包成7z格式有5.3GB(后来又更新了两个小包)。

全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

在网上提供这么大文件的无限制下载服务,是非常昂贵的,流量费哗啦啦地涨。博主使用Azure存储、Cloudflare CDN,不知道开销后边能不能承担诶。




原文发布时间为:2017年8月4日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Java对文件的读、写随机访问,RandomAccessFile类的使用分析
  在网上看了一些关于java中的RandomAccessFile类的介绍,又经过查看Java API和自己编的测试程序,总算是对RandomAccessFile的使用有了一定的了解。自己做了以下比较详细的总结吧。
1021 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10203 0
javascript随机生成字符串,可以用来生成随机密码
function generatePassword(length)  {      length = length || 32;      var source = "abcdefghzklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ`0123456789-=//[];',.
513 0
mysql设置密码与远程访问
应用场景 mysql搭建完毕后,需要进行使用,但是发现没有密码,没有安全保障。另外,在命令行执行mysql很麻烦,非常变扭,可以通过Navicat客户端工具连接mysql,界面化,使库表结构更加清晰可见,所以需要设置...
902 0
全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?
本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?,前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。
4486 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20710
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载