Pwned passwords list 2.0

[Володимир Лісівка]

Pwned passwords list — це база даних скомпрометованих паролів. Тепер база даних містить 500 мільйонів записів представлених у вигляді сум по алгоритму sha1. Базу даних можна завантажити з сайту або через торрент (8.8ГБ).

У новій версії було додано близько 200 мільйонів нових записів із нових зломів та видалено 1,7 мільйона некоректних записів. Можливий пошук як скомпрометованих записів по паролю (не рекомендується) так і записів у базі даних по електронній пошті.

Сайт: https://haveibeenpwned.com/Passwords
Оголошення: https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

[Володимир Лісівка]

Якщо потрібно перевірити чи пароль не попав у базу, можна скористатися цим скриптом:

Код: Bash

1. #!/bin/bash
2.  
3. while IFS='' read -r -s -p "Введіть пароль: "
4. do
5.   echo
6.  
7.   SHA1=$(echo -n "$REPLY" | sha1sum | cut -d ' ' -f 1)
8.   # Отримати список сум, які починаються на такий самий 5-ти символьний префікс, і пошукати там наш
9.   RESULT=$(curl --silent "https://api.pwnedpasswords.com/range/${SHA1:0:5}" | grep -i "${SHA1:5}")
10.  
11.   if [ -z "$RESULT" ]
12.   then
13.     echo "Все гаразд. Пароль не знайдено у базі даних pwnedpasswords.com."
14.   else
15.     echo "УВАГА: Пароль ЗНАЙДЕНО в базі даних pwnedpasswords.com."
16.     echo "Його використовували вже принаймні $(echo "$RESULT"| cut -d ':' -f 2 | grep -o '[0-9]\+') раз(ів)."
17.   fi
18. done
19.  

[Володимир Лісівка]

Щоб перевірити на яких сайтах вони були скомпрометовані:

Код: Bash

1. #!/bin/bash
2.  
3. while IFS='' read -r -p "Введіть адресу електронної пошти: "
4. do
5.   curl --silent "https://haveibeenpwned.com/api/v2/breachedaccount/$REPLY" | indent
6.  
7.   echo
8. done
9.  
10.