Media, nie tylko branżowe, wielokrotnie informowały o sytuacjach, w których bazy danych zawierające hasła użytkowników serwisów internetowych trafiały w ręce osób niepowołanych. Takie przypadki zdarzały się w przeszłości i będą zdarzały nadal, przynajmniej do momentu kiedy spopularyzują się inne sposoby autoryzacji. Jeśli posiadasz konto Dropbox dłużej niż od 2012 roku, Twoje dane logowania z tamtego okresu krążą w sieci razem z danymi innych 62 milionów subskrybentów tej usługi. Podobnie zresztą jak kompletne dane logowania ponad 160 milionów właścicieli profili w systemie LinkedIn. Można w prosty sposób przekonać się czy hasło którego wtedy używaliśmy zostało upublicznione. Wystarczy skorzystać z informacji, które opracował Troy Hunt. Troy zebrał krążące w sieci zbiory wykradzionych haseł i zbudował ogólnodostępną bazę, w której każdy może sprawdzić czy jego hasło jest jednym z ponad 500 000 jakie do tej pory zostały wykradzione i ujawnione. Kompletną listę można pobrać z serwisu https://haveibeenpwned.com. Zawiera ona zestawienie skrótów SHA-1 dla każdego z haseł wraz z informacją w ilu różnych źródłach zostało ono znalezione. Wcześniej musisz wygenerować skrót SHA-1 swojego hasła i porównać go z listą. Ta metoda jest w 100% bezpieczna, hasło sprawdzasz lokalnie, na swoim komputerze.
Na tej samej stronie znajdziesz także narzędzie pozwalające sprawdzić czy wprowadzone hasło znajduje się w tej bazie danych. Troy postarał się, żeby przeszukiwanie bazy danych było jak najbardziej anonimowe jednak sam sugeruje rozwagę i niepodawanie aktualnie używanych haseł w serwisach innych niż te, gdzie chcemy się zalogować. Metoda, którą zastosował polega na wygenerowaniu przez przeglądarkę skrótu SHA-1 wpisanego hasła, a następnie porównaniem go z bazą danych. W ten sposób można się przekonać że przykładowe „hasło”, o którym pisałem tutaj Hasła, hasła, hasła zostało użyte ponad 8112 razy, a jest to tylko ilość wystąpień tego hasła w opublikowanych bazach danych.