Marcel HellkampFeb 1, 2023

Just added another 3 million password hashes to my little side project: https://pwcheck.gwdg.de

Yes, that's basically a clone of the haveibeenpwned.com password hash database and API, but with additional sources (4x the size of HIBP).

3 million may sounds a lot, but there are 3.66 billion hashes in there already. So... let's just say there are a lot of leaked passwords out there.

#infosec #gwdg

Passwort-Check

Show threadChristian GreinerFeb 24, 2023

@mhellka Warum ist die DB eigentlich so groß bzw. was steckt da an zusätzlichen Daten im Gegensatz zu HIBP drin?

Wir nutzen hier die 28GB Version "pwned-passwords-ntlm-ordered-by-hash-v8.txt", um unsere AD-Konten nach Treffern zu durchsuchen und im Prinzip wäre ich an dem "erweiterten Datensatz" schon interessiert. 😉

Show threadMarcel Hellkamp
@cgreiner Ich habe den ursprünglichen Leak (und ein paar Weitere) selbst noch einmal ausgewertet und bin dabei offenbar etwas aggressiver vorgegangen als Hunt. Zum Beispiel habe ich Strings, die wie Passworte aussehen, aus SQL dumps extrahiert. Automatisiert natürlich. Oder hashes mit der korrekten Länge direkt übernommen, ohne zu wissen ob diese gesalzen sind. Sind sie es nicht, wären das zusätzliche Treffer. Dazu kommen noch ein paar bekannte Passwortlisten (teils generiert). Viel hilft viel.
Feb 24, 2023 at 1:42pmWeb