Security Tools密码泄露检测器
使用 Have I Been Pwned API 检查您的密码是否在已知数据泄露中被暴露。您的密码永远不会被发送——为了隐私保护,只传输部分 SHA-1 哈希值。
🔒 您的隐私受到保护
只有您密码的 SHA-1 哈希值的前 5 个字符被发送到 API。您的实际密码永远不会离开您的浏览器。
🔍
Enter a password and click "检查密码" to check if it has been leaked.
Related Tools
关于密码泄露检测器
工作原理
- 您的密码完全在您的浏览器中使用 SHA-1 进行哈希处理
- 只有该哈希的前 5 个字符(前缀)被发送到 Have I Been Pwned
- API 返回所有共享该前缀的泄露哈希(k-匿名模型)
- 您的浏览器在本地比较完整哈希——您的密码永远不会离开您的设备
- 匹配计数为 0 表示密码不在任何已知泄露数据库中
为什么要检查泄露的密码
- 验证您当前的密码不在已知泄露数据库中
- 在跨多个服务重用密码之前检查密码
- 审计您可能在泄露后忘记更改的旧密码
- 教育用户和员工了解常见或重用密码的风险
- 将泄露意识整合到您的安全审查工作流程中
Frequently Asked Questions
我的密码会被发送到任何服务器吗?
不会。此工具使用 Have I Been Pwned (HIBP) API 的 k-匿名模型。只有您密码的 SHA-1 哈希值的前 5 个字符会被发送。服务器返回所有匹配的哈希后缀,比较完全在您的浏览器中进行。
什么是 Have I Been Pwned API?
Have I Been Pwned (HIBP) 是安全研究员 Troy Hunt 创建的免费服务。它聚合了来自数百次数据泄露的数十亿被攻击凭据,并提供保护隐私的 API 来检查它们。
如果找到了我的密码意味着什么?
这意味着您的确切密码出现在公开已知的数据泄露数据库中。这大大增加了使用该密码的任何账户被未授权访问的风险。您应该立即在使用该密码的每个网站上更改它。
如果没有找到我的密码意味着什么?
'未找到'的结果意味着该密码没有出现在 HIBP 索引的任何泄露数据库中。这不能保证密码是强密码——您仍然应该使用长的、唯一的、随机生成的密码。
什么是 SHA-1 哈希,为什么只发送部分?
SHA-1 是一种加密哈希函数,可将任何输入转换为固定的 40 字符十六进制字符串。k-匿名模型意味着只有前 5 个字符(前缀)被发送到 HIBP。这在数学上不足以重建原始密码。
HIBP 包含多少泄露记录?
截至 2024 年,Have I Been Pwned 包含来自数百次重大数据泄露的超过 100 亿个被攻击凭据,包括 Adobe、LinkedIn、RockYou 等。
我可以一次检查多个密码吗?
目前此工具一次检查一个密码,以保持界面简单并避免意外记录敏感输入。对于批量检查,您可以直接使用 HIBP API。
我应该用这个工具检查我的实际密码吗?
是的,使用是安全的。k-匿名实现确保您的真实密码永远不会被传输。但是,作为一般安全实践,在输入密码时始终要谨慎。
发现泄露的密码后我应该怎么做?
立即在使用该密码的每个网站上更改密码。使用密码管理器生成和存储唯一的强密码。尽可能启用双因素认证 (2FA)。
此工具会存储我的密码或搜索历史吗?
不会。此工具对于敏感部分完全在客户端运行。离开您浏览器的唯一数据是 5 个字符的哈希前缀。密码、完整哈希或个人数据永远不会被存储或记录。
如果 HIBP API 不可用怎么办?
如果 API 暂时不可用,您将看到错误消息。没有结果意味着检查无法完成,而不是您的密码是安全的。几分钟后再试。
这与检查我的电子邮件是否被泄露有什么不同?
检查您的电子邮件是否被泄露告诉您与该电子邮件关联的账户是否出现在泄露中。直接检查密码告诉您该特定密码字符串是否存在于泄露数据库中,无论它与哪个账户关联。