API Ελέγχου Παραβιασμένων Κωδικών Πρόσβασης
Ελέγξτε αν ένας κωδικός πρόσβασης έχει εμφανιστεί σε γνωστές παραβιάσεις δεδομένων — ως API πάνω στο σύνολο Pwned Passwords του Have I Been Pwned (800+ εκατομμύρια μοναδικοί παραβιασμένοι κωδικοί). Χρησιμοποιεί k-ανωνυμία: μόνο οι πρώτοι 5 χαρακτήρες του SHA-1 hash ενός κωδικού αποστέλλονται ποτέ upstream, οπότε ο ίδιος ο κωδικός δεν φεύγει ποτέ ολόκληρος. Περάστε έναν κωδικό (hashed στη μνήμη, ποτέ αποθηκευμένο ή καταγεγραμμένο — στείλτε τον μέσω POST ώστε να μην εμφανίζεται ποτέ σε URL/αρχείο καταγραφής) ή ένα SHA-1 hash για να μάθετε αν έχει παραβιαστεί και πόσες φορές· ή λάβετε ένα raw k-ανωνυμίας εύρος για ένα πρόθεμα 5 χαρακτήρων hash και κάντε την αντιστοίχιση εξ ολοκλήρου από την πλευρά σας για μηδενική έκθεση του κωδικού. Ο έλεγχος εγγραφών και επαναφοράς κωδικών πρόσβασης έναντι λιστών παραβιασμένων κωδικών συνιστάται από το NIST 800-63b, και αυτό το καθιστά έναν έλεγχο μίας κλήσης. Ένας πόρος ασφάλειας παραβιάσεων/διαπιστευτηρίων — διακριτός από γεννήτριες κωδικών πρόσβασης, κρυπτογραφικό hashing και bcrypt. Ανοιχτά δεδομένα από το Have I Been Pwned (Troy Hunt), CC BY 4.0.
api.oanor.com/pwned-api
