🔍 密码泄露检测工具 | 撞库风险即时查询
通过HIBP官方数据库,检测您的密码是否出现在已知数据泄露事件中
🔐 隐私保护原理
在浏览器内计算密码的SHA-1哈希值,原始密码绝不传输
仅发送哈希的前5位字符,即使API也无法还原您的密码
获取匹配的后缀列表后,在本地完成泄露次数验证
关于密码泄露检测与撞库攻击
什么是密码泄露检测工具?
密码泄露检测工具(Pwned Password Checker)是一种在线安全工具,用于验证您的密码是否曾在公开的数据泄露事件中出现过。本工具通过调用Have I Been Pwned (HIBP) 官方API,实时查询超过7亿个已泄露密码的数据库,帮助您评估密码安全性,避免因使用已泄露密码而导致撞库攻击风险。
与传统的密码强度检测不同,泄露检测关注的是"实际已泄露"的密码,而非仅评估复杂度,因此能更真实地反映密码在当前网络安全环境下的实际风险等级。
什么是撞库攻击?
撞库攻击(Credential Stuffing)是黑客常用的攻击手段之一。攻击者利用用户在多个平台重复使用同一密码的习惯,将从某网站泄露的账号密码组合,批量尝试登录其他网站。由于许多人习惯使用相同的密码,一旦某个平台的密码泄露,其他平台的账号安全也随之受到威胁。
根据网络安全机构的统计,超过65%的用户会在不同平台重复使用密码,这使得撞库攻击的成功率远高于传统暴力破解。这也是为什么即使您的密码足够复杂,一旦出现在泄露库中,就必须立即更换的根本原因。
k-Anonymity 隐私保护技术
为了解决隐私顾虑,本工具采用了k-Anonymity(k-匿名)技术,这是由安全专家Junade Ali设计的一种隐私保护模型。其工作原理是:
- 计算密码SHA-1哈希值:如"5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8"
- 分割哈希:取前5位"5baa6"发送给API服务器
- 服务器返回所有以"5baa6"开头的哈希后缀列表(通常包含数百个结果)
- 客户端在本地比对完整哈希是否存在于返回列表中
这种设计确保API服务器无法获知您查询的具体密码,因为哈希前缀对应着海量可能的密码组合,而完整哈希值始终保存在您本地。即使通信被截获,攻击者也只能看到哈希前缀,无法反向推导出原始密码。
HIBP数据库:全球最大的密码泄露库
Have I Been Pwned (HIBP) 由安全专家Troy Hunt创建,是目前全球最大的公开数据泄露查询平台。该数据库收录了来自数百起数据泄露事件的超过7亿个真实密码,涵盖Adobe、LinkedIn、MySpace、Yahoo等重大安全事件。HIBP被微软、美国政府等机构广泛采用,是公认的密码泄露权威数据源。
本工具通过官方API与HIBP数据库实时同步,确保查询结果的时效性和准确性。所有查询均遵循k-Anonymity协议,在保护用户隐私的同时提供专业的密码安全检测服务。
密码安全最佳实践
使用密码管理器
通过1Password、Bitwarden等工具生成并存储高强度随机密码,避免重复使用和记忆负担
启用多因素认证
即使密码泄露,MFA也能阻止未授权访问,建议优先使用TOTP或硬件密钥
定期检测泄露
每季度使用本工具检测关键密码,发现泄露立即更换,并检查相关账号异常活动
关于SHA-1哈希算法
本工具采用SHA-1算法对密码进行哈希处理,这是HIBP API的标准要求。虽然SHA-1在数字签名领域已被认为不够安全,但在密码泄露查询场景中,由于我们仅使用其单向哈希特性且配合k-Anonymity机制,即使SHA-1存在碰撞理论可能性,也不会影响密码查询的安全性。实际场景中,从哈希前缀反向破解原始密码的计算复杂度仍然极高,远超过实际攻击成本。