Troy Hunt hat den Dienst „Have I Been Pwned?“ zur Überprüfung kompromittierter Passwörter als Open-Source-Lösung bereitgestellt. (haveibeenpwned.com), das eine Datenbank mit 11.2 Milliarden Konten überprüft, die durch Hackerangriffe auf 538 Websites gestohlen wurden. Ursprünglich wurde im August letzten Jahres die Absicht bekannt gegeben, den Projektcode zu öffnen, doch der Prozess zog sich in die Länge und der Code wurde erst jetzt veröffentlicht. Der Servicecode ist in C# geschrieben und unter der BSD-Lizenz veröffentlicht. Das Projekt soll unter Beteiligung der Community unter der Schirmherrschaft der gemeinnützigen Organisation .NET Foundation entwickelt werden.
Gleichzeitig wurde der Beginn der Zusammenarbeit zwischen dem HaveIBeenPwned-Projekt und dem US-amerikanischen Federal Bureau of Investigation bekannt gegeben, das seine Bereitschaft zum Ausdruck brachte, Informationen über kompromittierte Passwörter weiterzugeben, die im Rahmen laufender Ermittlungen identifiziert wurden. Beispielsweise stößt das FBI im Kampf gegen Botnetze häufig auf Passwortdatenbanken, die in Schadprogrammen zur Durchführung von Angriffen genutzt werden. Das Interesse an der Übermittlung von Informationen an den HaveIBeenPwned-Dienst hängt mit dem Wunsch zusammen, einen einzigen Punkt für die Überprüfung kompromittierter Konten zu erhalten. Es ist geplant, Passwortinformationen in Form von SHA-1- und NTLM-Hashes zu übertragen. Zur Organisation eines automatisierten Passwortübertragungskanals wird eine spezielle API entwickelt.
Source: opennet.ru
