Password Breach Check API
Überprüfen Sie, ob ein Passwort in bekannten Datenlecks aufgetaucht ist – als API über Have I Been Pwneds Pwned Passwords-Korpus (800+ Millionen einzigartige kompromittierte Passwörter). Es verwendet k-Anonymität: Nur die ersten 5 Zeichen des SHA-1-Hashs eines Passworts werden jemals upstream gesendet, sodass das Passwort selbst nie vollständig das System verlässt. Übergeben Sie ein Passwort (im Speicher gehasht, niemals gespeichert oder protokolliert – senden Sie es per POST, damit es nie in einer URL/einem Log erscheint) oder einen SHA-1-Hash, um zu erfahren, ob es kompromittiert wurde und wie oft; oder rufen Sie einen rohen k-Anonymitätsbereich für ein 5-stelliges Hash-Präfix ab und führen Sie den Abgleich vollständig auf Ihrer eigenen Seite durch, um eine Null-Passwort-Exposition zu erreichen. Das Screening von Anmeldungen und Passwortzurücksetzungen gegen Listen kompromittierter Passwörter wird von NIST 800-63b empfohlen, und dies ermöglicht eine einmalige Überprüfung. Eine Sicherheitsressource für Sicherheitsverletzungen / Anmeldeinformationen – unterscheidet sich von Passwortgeneratoren, kryptografischem Hashing und bcrypt. Offene Daten von Have I Been Pwned (Troy Hunt), CC BY 4.0.
api.oanor.com/pwned-api
