Een security researcher heeft een database van gestolen wachtwoorden online gezet. Daarin kan je nagaan of het wachtwoord dat je voor een nieuwe account wilt gebruiken, al is gecompromitteerd door een eerder lek.

Securityonderzoeker Troy Hunt, de man achter de website Have I been Pwned, heeft een nieuwe, doorzoekbare database van gestolen wachtwoorden op poten gezet. De tool bevat 306 miljoen wachtwoorden die openbaar zijn gemaakt in de tientallen lekken van de voorbije jaren, uiteraard zonder de bijhorende accounts. Bedoeling is om mensen en bedrijven te helpen om hun online veiligheid te verbeteren, en een goed, uniek wachtwoord voor hun accounts aan te maken.

Nu er steeds meer gegevenslekken zijn bij grote internetdiensten, is het erg belangrijk om een goed wachtwoord te gebruiken. Liefst zo eentje met 16 tekens, met een mix van hoofdletters, kleine letters, cijfers en symbolen. Maar zelfs zo'n wachtwoord is nutteloos als het al gewoon in de database zit die hackers tegen een account aangooien. Omdat veel mensen voor elke account hetzelfde wachtwoord gebruiken, gaan hackers namelijk vaak een lijst van buitgemaakte wachtwoorden uit één internetdienst inzetten om in accounts op een andere website binnen te breken. Daarom is het handig om te checken of 'StarWars2k17!' al niet eerder door, bijvoorbeeld, een Yahoo-adres werd gebruikt en dus is gelekt.

De site van Hunt, https://haveibeenpwned.com, was al bekend voor een database waarin je kon kijken of jouw e-mailadres in een hack was gelekt. De gelekte accounts stonden er in zonder de bijhorende wachtwoorden. De nieuwe tool draait dat systeem nu om: je kunt mogelijke wachtwoorden opzoeken om te checken of ze nog bruikbaar zijn. Hunt zegt er wel bij dat je de tool beter niet kunt gebruiken om bestaande wachtwoorden te testen, omdat je daarbij mogelijk weer je eigen wachtwoord blootstelt aan derde partijen.