API de verificación de filtraciones de contraseñas
Comprueba si una contraseña ha aparecido en filtraciones de datos conocidas — como una API sobre el corpus Pwned Passwords de Have I Been Pwned (más de 800 millones de contraseñas comprometidas únicas). Utiliza k-anonimato: solo los primeros 5 caracteres del hash SHA-1 de una contraseña se envían al servidor, por lo que la contraseña en sí nunca sale completa. Pasa una contraseña (hasheada en memoria, nunca almacenada ni registrada — envíala mediante POST para que nunca aparezca en una URL/log) o un hash SHA-1 para saber si ha sido filtrada y cuántas veces; o recupera un rango de k-anonimato sin procesar para un prefijo de hash de 5 caracteres y realiza la coincidencia completamente por tu cuenta para una exposición cero de la contraseña. El cribado de registros y restablecimientos de contraseñas contra listas de contraseñas filtradas es recomendado por NIST 800-63b, y esto lo convierte en una verificación de una sola llamada. Un recurso de seguridad de filtraciones/credenciales — distinto de los generadores de contraseñas, hashing criptográfico y bcrypt. Datos abiertos de Have I Been Pwned (Troy Hunt), CC BY 4.0.
api.oanor.com/pwned-api
