Die einfachste Variante ist, Variationen des Kennwortes zu generieren und gegen die API von haveibeenpwned.com zu schicken (nur die ersten 5 chars des sha1 hashes)

Auf die Weise sparst du dir den Download von endlosen Listen.

Vg
Dschump