1Password laat gebruikers op gelekte wachtwoorden checken

[Captain Kirk]

Wachtwoordmanager 1Password heeft een nieuwe feature ontwikkeld waarmee gebruikers kunnen kijken of hun wachtwoorden in een database van meer dan 500 miljoen gelekte wachtwoorden voorkomen. De database is beschikbaar gesteld door beveiligingsonderzoeker Troy Hunt en bestaat uit wachtwoordhashes die bij allerlei datalekken zijn gestolen.

1Password-gebruikers met een abonnement hebben nu bij de wachtwoorden die in de wachtwoordmanager zijn opgeslagen de optie "Check Password". Via deze optie wordt er in de database van Hunt gekeken of het wachtwoord daarin voorkomt, zonder dat het wachtwoord naar de onderzoeker of AgileBits wordt gestuurd, de ontwikkelaar van 1Password.

Voor het versturen van het wachtwoord maakt 1Password hier eerst een sha-1-hash van. Vervolgens worden de eerste vijf karakters van deze hash naar de dienst van Hunt gestuurd. Hierna stuurt de server een lijst met gelekte wachtwoordhashes terug die met dezelfde vijf karakters beginnen. 1Password vergelijkt deze lijst lokaal op het systeem van de gebruiker om te zien of die de volledige hash van de gebruiker bevat.

Wanneer er een match is wordt de gebruiker gewaarschuwd. AgileBits benadrukt dat als er via de nieuwe feature een hit wordt gevonden dit niet wil zeggen dat het account van de gebruiker is gecompromitteerd. Het kan zijn dat iemand hetzelfde wachtwoord gebruikt. Toch adviseert AgileBits in deze gevallen om het wachtwoord te wijzigen.

 

 

bron: security.nl