出于法律原因,我们无法以明文形式向 HIBP 发送电子邮件。
关于“域名搜索”功能,没有 API(据我所知)。 它的工作原理是向您发送多封电子邮件,没有 API,因此很难实现自动化流程。
我还阅读了 Troy 的一篇旧博客文章,内容是关于他针对特定案例设置的域搜索回调系统:https://www.troyhunt.com/have-i-been-pwned-goes-little- bit/ 看起来不错,但没有公开可用(这是我的理解)。
所以,如果 HIBP 不允许我这样做,我会基于它想到其他解决方案:
Firefox 监视器和 1pwd : 他们使用 k-匿名原则 (https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/),其中仅发送搜索电子邮件的哈希值。 不幸的是,该功能保留给 1pwd 和 firefox 监视器。
我是否缺少一种无需发送明文电子邮件即可与 HIBP 互动的方法?
谢谢你
简短回答:不。
Mozilla 和 1Password 使用此处描述的 k-匿名模型:https://www.troyhunt.com/were-baking-have-i-been-pwned-into-firefox-and-1password/
我不公开这一点的原因是,每个 k-匿名搜索都会返回多个结果,这将使不法分子更容易滥用。域名搜索需要在搜索时验证控制权;不需要验证的 API 也容易被滥用。
如果您想查看新功能,请在此处提出建议(如果它们已经存在,则对其进行投票):https://haveibeenpwned.uservoice.com/
我使用HIBP的方式是使用以下API:
使用此 API 最简单、最安全的方法是编写一个小程序,您可以在其中输入密码,剩下的就为您完成了。
我编写了一个命令行工具并将其命名为“pwnedk”。
这个工具的主要部分是3行Haskell代码:
let
sha1Hash = hexStringFromPassword sPassword
(first5FromHash, restFromHash) = Lst.splitAt 5 sha1Hash
requestURL =
"https://api.pwnedpasswords.com/range/" ++ first5FromHash
您可以从这里获取完整的代码,并可以自己构建它: