Опубликована база с 320 млн уникальных паролей (5,5 ГБ)
Проверка аккаунтов на живучесть
Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).
Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Базы лежат на этой странице.
Все пароли в базе представлены в виде хешей SHA1. Перед хешированием все символы переведены в верхний регистр (прописные буквы). Трой Хант говорит, что применил функцию HASHBYTES, которая переводит хеши в верхний регистр. Так что делая свой хеш, следует осуществить аналогичную процедуру, если хотите найти совпадение.
Прямые ссылки:
https://downloads.pwnedpasswords.com/passwords/pwned-passwords-1.0.txt.7z
(306 млн паролей, 5,3 ГБ), зеркало
SHA1 hash of the 7-Zip file: 90d57d16a2dfe00de6cc58d0fa7882229ace4a53
SHA1 hash of the text file: d3f3ba6d05b9b451c2b59fd857d94ea421001b16
В разархивированном виде текстовый файл занимает 11,9 ГБ.
https://downloads.pwnedpasswords.com/passwords/pwned-passwords-update-1.txt.7z
(14 млн паролей, 250 МБ), зеркало
SHA1 hash of the 7-Zip file: 00fc585efad08a4b6323f8e4196aae9207f8b09f
SHA1 hash of the text file: 3fe6457fa8be6da10191bffa0f4cec43603a9f56
Если вы глупы бесстрашны, то на той же странице можете ввести свой уникальный пароль и проверить его на наличие в базах, не скачивая их. Трой Хант обещает, что никак не будет использовать ваш пароль и его сервис абсолютно надёжен. «Не отправляйте свой активно используемый пароль ни на какой сервис — даже на этот!», — предупреждается на странице. Программные интерфейсы этого сервиса полностью документированы, они принимают хеши SHA1 примерно таким образом:
Но всё равно надёжнее проверять свой пароль в офлайне. Поэтому Трой Хант выложил базы в открытый доступ на дешёвом хостинге. Он отказался сидировать торрент, потому что это «затруднит доступ людей к информации» — многие организации блокируют торренты, а для него небольшие деньги за хостинг ничего не значат.
Хант рассказывает, где он раздобыл эти базы. Он говорит, что источников было много. Например, база Exploit.in содержит 805 499 391 адресов электронной почты с паролями. Задачей Ханта было извлечение уникальных паролей, поэтому он сразу начал анализ на совпадения. Оказалось, что в базе всего лишь 593 427 119 уникальных адресов и лишь 197 602 390 уникальных паролей. Это типичный результат: абсолютное большинство паролей (в данном случае, 75%) не уникальны и используются многими людьми. Собственно, поэтому и даётся рекомендация после генерации своего мастер-пароля сверять его по базе.
Вторым по величине источником информации был Anti Public: 562 077 488 строк, 457 962 538 уникальных почтовых адресов и ещё 96 684 629 уникальных паролей, которых не было в базе Exploit.in.
Остальные источники Трой Хант не называет, но в итоге у него получилось 306 259 512 уникальных паролей. На следующий день он добавил ещё 13 675 934, опять из неизвестного источника — эти пароли распространяются отдельным файлом.
Так что сейчас общее число паролей составляет 319 935 446 штук. Это по-настоящему уникальные пароли, которые прошли дедупликацию. Из нескольких версий пароля (P@55w0rd и p@55w0rd) в базу добавляется только одна (p@55w0rd).
После того, как Трой Хант спросил в твиттере, какой дешёвый хостинг ему могут посоветовать, на него вышла известная организация Cloudflare и предложила захостить файлы забесплатно. Трой согласился. Так что смело качайте файлы с хостинга, это бесплатно для автора.
Клондайк Программиста
ПИРАТСКАЯ БУХТА для РАЗРАБОТЧИКОВ
Расширенная база часто используемых паролей, > 85 000 штук
В этой базе Вы найдете невероятно огромное количество самых часто употребляемых паролей людьми по всему миру.
Очень полезная штука для проверки защищённости пароля.
А вдруг Ваш пароль в этом списке? 🙂
Скачать
Рекламные ссылки
Похожие материалы
База никнеймов
Достаточно большая база женских и мужских никнеймов.
Подойдет для различных целей, к примеру, для проверки уникальности никнейма или авторегистрации на всевозможных сайтах.
Расширенная база часто используемых паролей, > 85 000 штук
В этой базе Вы найдете невероятно огромное количество самых часто употребляемых паролей людьми по всему миру.
Очень полезная штука для проверки защищённости пароля.
А вдруг Ваш пароль в этом списке? 🙂
Сборник самых популярных паролей
В данной сборке представлено более 800 самых популярных паролей, которые используют люди по всему миру.
Очень полезно делать с помощью этой базы проверку на незащищённость пароля.
Комментарии
КАТЕГОРИИ
ОНЛАЙН ЧАТ
РЕКЛАМА
МЫ ВКОНТАКТЕ
Клондайк Программиста
ПИРАТСКАЯ БУХТА для РАЗРАБОТЧИКОВ
Проект «Клондайк Программиста» создан с целью коллекционирования наиболее интересных материалов из различных сфер деятельности.
Мы не преследуем цель незаконного распространения материалов, поэтому если Вы являетесь правообладателем, сообщите нам о нарушении по указанным здесь контактам.
ForceOP (AuthMe Cracker)
Overview
Force OP (a.k.a. AuthMe Cracker) is a mod that cracks AuthMe passwords. It can be used on AuthMe servers to force OP yourself by cracking the AuthMe password of an admin or to get access to other people’s plots and items by cracking their AuthMe password.
How To Use
What you need
A cracked server with AuthMe or a similar plugin. What’s that?
The usernames of as many admins as you can get.
Step 1: Adding the admins to your alt list
Step 2: Cracking the AuthMe passwords
Preparation
Now leave the server, go to the AltManager and log in as one of the admins. Then join the server again and turn ForceOP/AuthMeCracker on. A frame with options will open:
If you just leave everything as it is, it will try the username and 49 other common AuthMe passwords at a speed of 1 password per second. This takes up to about a minute and has a chance of about 10% to work because about 10% of all users use one of these passwords. In most cases, this configuration will give you the best results. Keep in mind that it’s 10% per admin, not 10% per server. So the more admins a server has, the higher the chance that one of them has a bad AuthMe password.
Changing the options
In some cases though, it will be more efficient if you change the options, so we will get to that now.
The delay between attempts only influences the time that it takes. The default value is 1000ms which is equivalent to 1 password per second. It’s also the shortest delay that can bypass AntiSpam (the server plugin, not the hack). In other words, if the server has AntiSpam, like most servers, you shouldn’t change this value. If it doesn’t have AntiSpam, you can set it to a lower value which will drastically increase the speed. At the minimum delay (50ms), Xato’s list only takes a couple minutes.
Starting
If you got a success message that tells you the AuthMe password, you have successfully bypassed the AuthMe protection of that admin. You might not see this message right after the first try. That’s why you collected several usernames. Just repeat this process with the other usernames that you collected until you find one that works.
Once you’re done with that, you can either give OP to your own account (using the normal /op command) or grief the server as the admin. Happy griefing!
Turn AntiSpam on and you won’t see all the annoying Wrong password! messages from AuthMe.
You can also do this with normal users to get access to their plots, items, etc.