‘Have I Been Pwned’ telt nu 10 miljard gelekte wachtwoorden
De website Have I Been Pwned is een aantal jaar geleden opgezet om mensen in staat te stellen te controleren of een of meerdere van hun wachtwoorden in verkeerde handen terecht zijn gekomen. Inmiddels telt deze database wachtwoorden van maar liefst 10 miljard accounts.
Het gaat om combinaties van e-mail-adres en wachtwoord. Een gebruiker kan zijn e-mail-adres invoeren, waarna Have I Been Pwned controleert of dit voorkomt in de database. Als dat het geval is worden de eerste en laatste letters van het bijbehorende wachtwoord getoond. De gebruiker weet dan in ieder geval dat het tijd is om die wachtwoorden snel te veranderen. Het risico is des te groter wanneer iemand hetzelfde e-mail-adres en wachtwoord voor meerdere accounts gebruikt. En dat gebeurt. Het aantal geïndexeerde accounts is tweemaal zo groot als het aantal e-mail-adressen.
Aanmelden
Mensen kunnen op de site dus zoeken of hun e-mail-adres en wachtwoord misbruikt wordt, maar men kan zich ook aanmelden om automatisch een waarschuwing te krijgen zodra het e-mail-adres in de database wordt opgenomen. Nog altijd is veel data in Have I Been Pwned afkomstig uit het enorme datalek in LinkedIn uit 2012. Inmiddels zijn er ook andere diensten, die vergelijkbaar zijn met Have I Been Pwned. Een voorbeeld is Scattered Secrets, dat opgezet is door twee informatiebeveiligers.