189

Опубликована база данных, включающая 320 млн уникальных хешей паролей

Исследователь опубликовал доступную для поиска базу данных, содержащую 319 935 446 уникальных хешей паролей.

Публикую для того, чтобы Вы проверили на взлом свои пароли или логины (никнейм, E-mail)

Опубликована база данных, включающая 320 млн уникальных хешей паролей Утечка, Пароль, Логин, База, Безопасность, Проверка, Хэштег

Трой Хант опубликовал доступную для поиска базу данных, включающую порядка 320 млн уникальных хешей паролей, собранных в результате различных утечек данных.

Информация была раздобыта из различных источников. К примеру, база Exploit.in содержит 805 499 391 адрес электронной почты с паролями. После проведения анализа на совпадения оказалось, что в базе всего лишь 593 427 119 уникальных адресов и только 197 602 390 уникальных паролей, то есть 75% паролей использовались более одного раза. Вторым источником стала БД Anti Public, содержащая 562 077 488 строк с 457 962 538 уникальными адресами электронной почты и 96 684 629 уникальных паролей, которых не было в базе Exploit.in.

Хант не раскрыл остальные источники.


Блог Троя Ханта с описанием: https://www.troyhunt.com/introducing-306-million-freely-down... (есть возможность интеграции базы для проверки наличия хеша).


Систематизированная проверка, созданная исследователем по кибербезопасности Троем Хантом:

Проверка E-mail или ника на взлом здесь.

Вводим мыло или никнейм и проверяем. Покажет из какого источника получена информация. Мне показал даже ресурс на котором увели пару логин/пароль.


Проверка на наличие хеша пароля в базе здесь.

Вводим пароль и смотрим есть ли его хеш SHA-1 в базе.


База хешей 5.3GB, примерно 306 млн штук от 3 августа 2017.

База хешей 250MB, примерно 14 млн штук от 4 августа 2017.

База хэшей 7.6MB, примерно 400 тыс. штук от 5 августа 2017.


Проверяем, изучаем, радуемся (огорчаемся)...

UPD: Для тех, кто носит шапочки их фольги и клеит пластырь на вебку:

1.Качаем архив;

2.Распаковываем;

3.Шифруем свой пароль алгоритмом SHA-1;

4.Открываем txt из архива;

5.В нем нажимаем Ctrl+f;

6.В поиск вводим хеш, полученный после шифрования;

7.Жмем Enter.

Дубликаты не найдены

+146
Иллюстрация к комментарию
раскрыть ветку 4
+30
Во,во. Точно подметил. Проверка паролей для дураков.
ещё комментарии
-16
Иллюстрация к комментарию
ещё комментарий
+49
Все норм. Я проверил свой email. А потом свой пароль к нему. В базах нет, чувствую себя в безопасности.
раскрыть ветку 5
+10
Поздравляю.Теперь твой пароль в базе капитан)
ещё комментарии
-14

А вот так я делать не советую))))))))))))

раскрыть ветку 1
+1

Если он не идиот, то...

Иллюстрация к комментарию
ещё комментарии
+12

Для работающих с паролями/хэшами/солью/шифрацией этот заголовок выглядит как "Опубликована база, включающая 320 млн уникальных фотографий обложек паспортов".

+19
Введи пароль что бы его собрали в базу данных и потом использовали? Спасибо, не хочу.
раскрыть ветку 15
+1

там не надо вводить пароль. просто проверяешь, есть ли твоя почта в базе. Из четырех почтовых только один  пытались ломать и он там высветился. И то я знаю, что его пробовали открыть.

ещё комментарии
-5

Так не вводи.

Качай базу 5,3 Гига, распаковывай (около 11 гигов), далее шифруй свой пароль алгоритмом SHA-1, открывай базу (охуенно огромный txt), Ctrl+F, вставляй полученный после шифрования хэш и Enter.

Если не подсветило строку - радуйся, если подсветило - волнуйся и беги менять пасс.

раскрыть ветку 5
0
А можно снять хеш и прогнать его поиском по базе?
ещё комментарии
ещё комментарии
+10
Все проще- пишешь прям сюда login и parol и Пикабу тут же проверит есть в базе или нет.
раскрыть ветку 10
+4
На мой проверь:

andsermopikabu@rambler.ru

NeN@doitivpikabu!

раскрыть ветку 9
+7
Я тебе чо, Пикабу что-ли?
раскрыть ветку 6
-5

Good news — no pwnage found!

раскрыть ветку 1
ещё комментарии
+4

Пользуюсь keepass, даже если уведут пароль с одного сайта - ни страшно. На каждом ресурсе свой случайный пароль, который даже я сам не помню.

раскрыть ветку 11
0

Ага. Сипа-сиб.


Как раз начал думать подбирать себе хранилку паролей...


Они, правда, у меня не сильно случайны - но много и уникальны весьма... А пока в зашифрованном Эксель файле хранил (на диске TrueCrypt кошерной версии). =)


Собственно, если ключевой файл к Keepass хранить на TrueCrypt (для пущей паранойи можно на вложенном в контейнер скрытом разделе - который для "убедительного отрицания" обычно используется) то фиг кто шо увидит когда. =)

раскрыть ветку 3
0
(на диске TrueCrypt кошерной версии)

Скиньте ссылку на неё пожалуйста.

раскрыть ветку 2
-7

Так и надо. На где уверенность в самом "keepass"?

раскрыть ветку 6
+3

Так он с открытым кодом и работает локально.

раскрыть ветку 2
0

нет ничего более безопасного, чем таблица паролей passwords.xls в winXP на рабочем столе.

раскрыть ветку 2
ещё комментарии
+3

Вводим двухступенчатую аутентификацию и спокойно спим дальше.

+2

Проверила 2 почты.

Иллюстрация к комментарию
Иллюстрация к комментарию
раскрыть ветку 6
+3

не факт что ваш пароль слит, на сервере почты с вероятностью 99% используется другой более прочный алгоритм хеширования...

раскрыть ветку 5
0

Я теперь постоянно меняю пароли.  На всякий случай )

-6

Хотя бы понимаете о чем речь?

Судя по скринам в базе есть хэш пароля от вк, где логином была первая проверенная почта.

На втором скрине показано что в базе хэш пароля от Linkedin, где логинм выступает второй почтовый адрес.

Так же есть даты, когда у сайтов увели БД с хэшами пассов.

Про взлом самого E-mail тут речи не идет!

раскрыть ветку 3
ещё комментарии
+3

А с вебкой что не так? Лучше заклеить. Автор, если не секрет, кем работаешь?

ещё комментарии
+1

Никто не взломал. Вроде, все мылы/аккаунты проверил.


Ну и ладно. Видно, я никому не нужен...

Иллюстрация к комментарию
+1
Блин... Гребаный Nexus Modes ... Ладно хоть пароль не тот, что используется на ответственных ресурсах. Автору спасибо.

Upd. А вот вторая почта нехило так светанулась, да еще и пароль от вконтакте угоняли, было дело,смутно помню )))
+1

О, пасиб. У меня, оказывается, ещё два года назад акк на нексусмодсе "скомпрометирован" был, а я там пароль с самой регистрации не менял. АП Во, теперь ещё и один из ящиков нашелся

+1

проверил почту, которую взломали...
действительно pwned

раскрыть ветку 1
+1

Проверил почту которую думал что взломали (мой последний пост) - чисто


Похоже все таки google глючит

+1
Мои пароли не pwned, хотя...
+1

Чет какая-то странная тема. Проверил свои ящики - пишет, мол, pwned. Хотя на гугле двухфакторная авторизация.

раскрыть ветку 5
+8
Это не значит, что тебя взломали, значит просто почта засветилась во взломанных базах. А то что его взломают или нет, это другой вопрос.
раскрыть ветку 2
+1

Тогда какой вообще смысл в этой информации?

раскрыть ветку 1
+6
Я проверил свою почту, тоже слита. Потому что она стояла в 2012 году у ВК, базу которой слили.

Теперь лично я понимаю откуда у меня появляются сообщения "ГРИН КАРТА БЕСПЛАТНО ПИШИ" или "Я ТУТ ХОЧУ ТЕБЕ ПЕРЕСЛАТЬ НЕСКОЛЬКО МИЛЛИОНОВ, ПЕРЕЙДИ ПО ССЫЛКЕ" и другие подобные спаммерские сообщения на русском/английском.

-1

В жопу гугл. Это значит что на каком-то сайте, где логином является этот E-mail, увели Ваш пароль.

0

@BOMBERuss

Шифруем свой пароль алгоритмом SHA-1;

SHA-1 -- это хэш, а не алгоритм шифрования.

0

вполне ожидаемо все данные слиты через qip... всегда не любил эту говноподелку. С тех пор куда осторожнее.

0
А просто базы с этими же паролями (но не их хэшами!) нет? Чтобы аиркракеру или хэшкэту скормить при случае с:
0

У меня стоит двухфакторная авторизация от Яндекса - т.е. пароль я не использую в принципе (вход через QR-код распознающийся приложением в телефоне) - но показывает что взломано, лул.

ещё комментарии
-1

Хех, все что зарегистрировано на мылосру или на проектах мылосру все хакнуто.

раскрыть ветку 1
0

да ладно, у меня просто копипаста, а тут спизженно еще откуда то

-1
Чуваки, чо париться то? Шлите свои логины и пароли мне сразу, я проверю, не взломал ли их кто 8)
раскрыть ветку 2
0

Проверь, не взломал ли кто-то аккаунт Cosmocrator, ладно? А то я беспокоюсь...

раскрыть ветку 1
0
Это сарказм был, друг. Нет ничего глупее, чем пихать свои пароли и логины куда не поподя.
-1
Правильно, помогите парням собрать базу действующих ников и адресов, так ломать легче.
-1
Вроде бы hash - он, как фарш: его невозможно прокрутить назад. Так что практическая польза от этих сведений стремится к нулю.
раскрыть ветку 8
+4
Но если там есть хеш именно вашего пароля то он уже дискредитирован
раскрыть ветку 1
0
В чем дискредитация? Злоумышленнику надо получить где-то ваш акк с хешем, чтобы потом получить пасс.

(да и база далеко не полная, тут 11гб в развернутом виде, а всякие сервисы подбора держат базы по 100гб)

+1

С другой стороны, если есть хэш пароля к интересующему тебя аккаунту, его проще попытаться сбрутить по словарям, чем через сам сервис с ограничением по времени с одного ip, капчами и прочей защитой. Правда есть ещё проблемы с солью.

0

если мы каким-то образом сливаем чей-то хеш, исходное значение можно узнать по этой базе, другое дело что sha1 устарел и для хеширования паролей его используют самые отбитые, как и md5

раскрыть ветку 3
0
А что сейчас используют для хеширования паролей чоткие посоны?
раскрыть ветку 2
-4

В принципе да:

Известный эксперт по безопасности Трой Хант (Troy Hunt), владелец ресурса агрегирующего утечки данных — Have I Been Pwned, тоже сомневается, что означенные 272 млн учетных данных представляют какую-то угрозу.
«Я правда считаю, что это ничем непримечательно событие, которое собрало больше новостных заголовков, чем подтвержденных данных», — сказал Хант журналистам издания Vice Motherboard. — « Знаете, сколько сил мы тратим каждый раз, чтобы установить, подлинна утечка или же нет? Похоже, в данном случае ничего подобного сделано не было».

https://pikabu.ru/story/rossiyskiy_khaker_prodaet_272_000_00...

Похожие посты
Возможно, вас заинтересуют другие посты по тегам: