Marcel Hellkamp

Just added another 3 million password hashes to my little side project: https://pwcheck.gwdg.de

Yes, that's basically a clone of the haveibeenpwned.com password hash database and API, but with additional sources (4x the size of HIBP).

3 million may sounds a lot, but there are 3.66 billion hashes in there already. So... let's just say there are a lot of leaked passwords out there.

#infosec #gwdg

Passwort-Check

Feb 1, 2023 at 3:47pmWeb
Show threadUdo BurghardtFeb 2, 2023

@mhellka Prima! 👍

Irgendwie ist es dennoch ein "komisches" Gefühl, Passworte nicht ausschließlich im Idm/SSO einzugeben - obwohl die Gwdg ja sowieso der ultimative Vertrauensanker ist. (Psychologische Wahrnehmung...)

Ich habe eine dreistellige Zahl Passworte, ich sollte das selber herunterladen und lokal scripten. Irgendwann mal, wenn Zeit ist...

Show threadMarcel HellkampFeb 2, 2023
@uburgha Die Datenbank ist leider etwas unhandlich mit ihren 72G (komprimiert) bzw. 493GB (unkomprimiert) aber wenn man dem Konzept von K-Anonymität grundsätzlich vertraut, kann man die API auch sehr einfach von lokalen Skripten aus benutzen und muss keine sensiblen Passworte auf Webseiten eintippen -> https://pwcheck.gwdg.de/api.html
GWDG Password-Check: API

Show threadChristian GreinerFeb 24, 2023

@mhellka Warum ist die DB eigentlich so groß bzw. was steckt da an zusätzlichen Daten im Gegensatz zu HIBP drin?

Wir nutzen hier die 28GB Version "pwned-passwords-ntlm-ordered-by-hash-v8.txt", um unsere AD-Konten nach Treffern zu durchsuchen und im Prinzip wäre ich an dem "erweiterten Datensatz" schon interessiert. 😉

Show threadMarcel HellkampFeb 24, 2023
@cgreiner Ich habe den ursprünglichen Leak (und ein paar Weitere) selbst noch einmal ausgewertet und bin dabei offenbar etwas aggressiver vorgegangen als Hunt. Zum Beispiel habe ich Strings, die wie Passworte aussehen, aus SQL dumps extrahiert. Automatisiert natürlich. Oder hashes mit der korrekten Länge direkt übernommen, ohne zu wissen ob diese gesalzen sind. Sind sie es nicht, wären das zusätzliche Treffer. Dazu kommen noch ein paar bekannte Passwortlisten (teils generiert). Viel hilft viel.
Show threadMarcel HellkampFeb 24, 2023
@cgreiner Die HIBP Downloads werden übrigens nicht mehr aktualisiert, v8 ist veraltet. Es wird empfohlen, die tatsächliche API zu nutzen und alle 1048576 Blöcke einzeln runter zu laden. Für pwcheck tu ich das regelmäßig.
Show threadChristian GreinerFeb 24, 2023
@mhellka Ja, hatte mich auch schon gewundert, dass da so lange nichts mehr aktualisiert wurde. Danke für den Hinweis, dann muss ich mir das mit der API einmal näher ansehen.