28.11.2021

Открыт код сервиса проверки паролей HaveIBeenPwned

Трой Хант (Troy Hunt) открыл исходные тексты сервиса проверки скомпрометированных паролей «Have I Been Pwned?» (haveibeenpwned.com), выполняющего проверку по базе в 11.2 миллиардах учётных записей, похищенных в результате взломов 538 сайтов. Изначально о намерении открыть код проекта было объявлено в августе прошлого года, но процесс затянулся и код опубликован только сейчас. Код сервиса написан на C# и опубликован под лицензией BSD. Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

Одновременно объявлено о начале сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США, которое выразило готовность передавать информацию о скомпрометированных паролях, выявляемых в результате проводимых расследований. Например, в ходе борьбы с ботнетами ФБР часто сталкивается с базами паролей, используемых во вредоносном ПО для проведения атак. Интерес в передаче информации сервису HaveIBeenPwned связан с желанием получить единую точку для проверки скомпрометированных учётных записей. Информацию о паролях планируется передавать в форме хэшей SHA-1 и NTLM. Для организации автоматизированного канала передачи паролей будет разработан специальный API.

Источник.