Have I Been Pwned(简称 HIBP)是由安全专家 Troy Hunt 创建的一个免费服务,用于帮助用户检查自己的电子邮件地址或密码是否出现在已知的数据泄露事件中。
它是如何工作的?
当你在 HIBP 上输入邮箱或密码时,系统会通过安全的方式(如 k-Anonymity 模型)比对已公开的泄露数据库,而不会将你的完整信息发送到服务器。尤其是密码查询功能,采用的是 k-匿名技术:只发送密码 SHA-1 哈希值的前5位字符,本地比对剩余部分,极大保护了用户隐私。
是否安全可靠?
是的,HIBP 被全球数百万用户和众多安全机构(包括 Microsoft、Google 等)推荐使用。其设计原则以用户隐私为核心:
- 不记录用户的完整查询内容
- 不存储查询日志用于追踪
- 开源 API 和透明的运作方式
- 支持 HTTPS 全站加密
此外,Troy Hunt 本人是知名的网络安全布道者,长期致力于提升公众对数据泄露的认知。
使用建议
尽管 HIBP 本身是安全的,但仍建议:
- 仅通过官方网址 https://haveibeenpwned.com/ 访问
- 避免在公共电脑或不可信网络中输入敏感信息
- 若发现账号已泄露,立即更改相关密码并启用双重验证(2FA)
总结
Have I Been Pwned 是一个值得信赖的安全工具。其隐私保护机制严谨,且被业界广泛认可。定期使用该服务检查账号安全,是良好网络安全习惯的重要一环。