Pwned密码,版本6

2020-06-19 22:09:42

今天,在第5版发布近一年后的今天,我很高兴地发布了Pwned Password的第6版。数据集从555,278,657个已知的泄露密码增加到总计572,611,621个,增加了17,332,964个‬(略高于3%)。与以前的版本一样,我现在之所以呼吁推送数据,仅仅是因为有足够的新记录来证明这样做的开销是合理的。

同样,与以前的版本一样,版本6不仅引入了一堆新记录,还更新了现有记录的流行率计数。例如,以前最受欢迎的密码从2929次增加到3069次,所以这仍然是一个糟糕的密码,只是比以前更糟糕一点而已。(译者注:原文为P@55w0rd";)。

随着语料库大小的增加,新密码往往比已有的密码更不常见。例如,密码";您的密码";现在显示为";Bullet_hole";和";Pssw0r";。此外,一大堆我在这里不能真正打印出来的密码也会出现,但用你的想象力,你可能会破解出其中的几个。

@haveibeenpwned中的Pwned密码越来越强-过去24小时内有2500万个请求,缓存命中率为99%😎/[email protected]/heWBVEVxDD。

-特洛伊·亨特(@troyHunt)2020年6月18日。

我决定将这条推文以与去年博客文章中完全相同的方式框定,但那只是过去24小时内的1600万次请求。我不能将增长归因于任何一个单一的来源,而不是像这样的一堆个案:

加进了一些伪装的密码,真是太棒了。不再制造每一个密码,狂热的后期制作行业,穆瓦哈。@troyHunt pic.twitter.com/jHSMFqFbUw。

-马特·德文(@mattdwen)2020年6月9日

我完全打算让Pwned密码免费提供,而且根本不需要任何形式的身份验证,因为我真的希望看到这样的增长继续下去。请注意,我还鼓励那些不热衷于使用k-匿名模式的人下载整套算法,就像前几年一样,它都是以SHA-1或NTLM散列的形式提供的(如果你认为这些算法看起来有点过时,请阅读选择这些算法背后的理由)。如果您想使用API,自上一版本以来对实现的改进是我大约在几个月前写的填充特性。今天发布的版本在这方面没有什么改变;仍然使用相同数量的填充物,因为响应大小只增加了3%(我们在选择要使用的填充物数量时迎合了更多的需求)。

如果您不确定是否正在搜索最新的数据集,请检查Last-Modified响应标头,并确保它是今年6月19日(我将数据上传到Azure的那一天):

Cloudflare上的所有缓存都应该已经刷新,从这里开始的任何搜索都应该显示上面日期和时间附近的日期和时间。由于有了Cloudflare缓存,任何衡量服务响应时间的人都可能会看到小幅增长,而这16^5个不同的可能散列范围会重新填充到Cloudflare的边缘节点中。当我说的是Cloudflare时,我想再次感谢他们的支持,他们提供的服务不仅让Pwned Pwned Password对每个点击API的人来说都非常快,而且对我来说运行起来也非常便宜:

在@Cloudflare的支持下,上个月我已经从@haveibeenpwned Pwned密码中节省了近38TB的带宽。如果我直接从@Azure上提供所有这些东西,账单就会是……。不愉快的😲pic.twitter.com/kMG10SOqLG。

-特洛伊·亨特(@troyHunt)2020年6月19日。

因此,这是版本6。不能保证什么时候会有版本7,因为和所有以前的版本一样,它完全是基于有足够的新密码来证明新版本是合理的。我仍然依赖于以纯文本的形式保存它们,要么是因为它们的存储方式,要么是因为有人去破解了一大堆它们。随着越来越多的网站真正做好他们的密码存储,这一切都变得越来越罕见。哪个是好的😊?