Tjenesten Pwned Passwords, der tjekker lækkede passwords, er netop blevet udvidet med en ny stak kompromitterede nøgler.
På tjenestens hjemmeside kan man tjekke, om éns kodeord skulle være blandt den kæmpe mængde, som tjenesten har indsamlet.
Men hvis man ikke lige har lyst til at skrive sine passwords ind i et tekstfelt på en webside, er der også andre fremgangsmåder. Vi viser her, hvordan vi gjorde, med Windows 10.
Først skal man downloade den ca. 8 gigabyte store, komprimerede tekstfil fra tjenesten.
Det kan gøres som direkte download i browseren eller via Bittorrent.
Dernæst skal filen pakkes ud. Man skal væres opmærksom på, at filen fylder 30,8 gigabyte.
Den er komprimeret med algoritmen 7-zip. Hvis man ikke har et kompressionsprogram, der kan klare det format, kan man på Windows downloade open source programmet 7zip.
Nu skal vi bruge et program, der kan læse og søge i meget store filer. Vi benytter her den gratis hex-editor HxD, som kan downloades her. Den er halvgammel, men kan gennemsøge de 30 gigabyte for en tekststreng på 30 sekunder, på min maskine.
Til sidst skal vi bruge SHA1-hashet af det password, vi vil teste.
Vi gemmer det i en tekstfil, som kan hedde test.txt.
Så benytter vi Windows Powershell. Den findes ved at klikke på søgefunktionen i Windows-bjælken forneden, og søge efter programmet.
Nu finder vi hash-værdien ved at indtaste følgende kommando i Powershell:
PS C:\Users\tan> Get-FileHash C:\Users\tan\Downloads\test.txt -Algorithm SHA1
hvor stien udskiftes til der, hvor man har gemt filen med kodeordet.
Hvis filen indeholder strengen "passw0rd" (uden anførselstegn), svarer programmet således:
Algorithm Hash Path --------- ---- ---- SHA1 7C6A61C68EF8B9B6B061B28C348BC1ED7921CB53 C:\Users\tan\Downloads\test.txt
Vi åbner nu lækfilen pwned-passwords-2.0.txt i HxD, og søger på hashkoden via menuen "search" > "find".
Nu går der op til 30 sekunder (på min maskine), og så markerer HxD, at den har fundet strengen - hvilket altså vil sige, at "passw0rd" er lækket, og ikke bør benyttes.
