O Have I Been Pwned é um velho conhecido dos leitores do Tecnoblog: o serviço é mantido pelo pesquisador de segurança Troy Hunt e mostra quais contas suas já estiveram em vazamentos a partir do nome de usuário ou endereço de e-mail que você costuma se cadastrar nos sites. Desta vez, ele fez algo um pouquinho diferente: compilou uma lista das 306.259.512 combinações únicas que já vazaram.
Você sempre lê por aí que senhas como “123456” e “password” são as mais utilizadas em cadastros, o que transforma muitos usuários em alvos fáceis. O problema é que, mesmo se você possui uma combinação mais complexa, como “p@55w0rd”, pode estar em risco: ela já pode ter vazado por culpa de algum serviço, e isso torna os ataques de força bruta por dicionário bem mais fáceis.
Por isso, é bom evitar utilizar uma combinação vazada no passado. No Pwned Passwords, você pode digitar uma senha sua e descobrir se ela já caiu nas mãos erradas. Antigamente eu adotava uma combinação padrão em serviços menos importantes, e descobri que ela vazou — felizmente, não há mais nada com essa senha em meu nome.
E, se você não confia no Have I Been Pwned e não quer ficar digitando suas senhas em uma página da web, tudo bem: um arquivo de texto de 5,6 GB foi liberado para que você mesmo possa fazer as verificações. Vale lembrar que tudo está escondido atrás de hash SHA1, já que algumas senhas contém informações pessoais, como datas de nascimento ou endereço de e-mail.