Вскоре ФБР начнет делиться скомпрометированными паролями со службой Have I Been Pwned Password Pwned. Спецслужба будет передавать те пароли, которые были раскрыты в ходе расследований.
С помощью Password Pwned пользователь может ввести пароль и увидеть, сколько раз он был скомпрометирован. Например, при вводе «password» служба сообщит, что он был замечен 3 861 493 раза в утечках данных.
Создатель Have I Been Pwned Трой Хант объявил, что ФБР позволит администраторам и пользователям проверять пароли, чтобы сменить их до того, как они будут использованы в атаках с заполнением учетных данных.
«Мы рады сотрудничать с HIBP в этом важном проекте по защите жертв краж учетных данных в Интернете. Это еще один пример того, насколько важно государственно-частное партнерство в борьбе с киберпреступностью», - заявил помощник директора киберподразделения ФБР Брайан А. Ворндран.
ФБР будет передавать пароли в виде хеш-пар SHA-1 и NTLM, которые затем можно будет найти с помощью службы или загрузить как часть автономного списка паролей Pwned Password. Списки с хешами можно отсортировать в алфавитном порядке или по степени распространенности.
Например, в приведенном ниже списке показано, что хэш NTLM «32ED87BDB5FDC5E9CBA88547376818D4», который предназначен для пароля «123456», используется более 24 млн раз.
Хант в 2020 году открыл исходный код своего проекта. Он отметил, что данные, загруженные в систему в последние годы, поступали от других пользователей, а многие сервисы, на которых работает HIBP, предоставляются бесплатно, например, Cloudflare. Хант призвал других разработчиков помочь в создании API.
ФБР и другие правоохранительные органы могут использовать этот API для передачи скомпрометированных паролей в базу данных Password Pwned.
