已泄露密码
已泄露密码 是什么?
已泄露密码已出现在已知数据泄露中的密码,因此绝不应再被允许作为用户口令,典型来源是 Troy Hunt 的 Have I Been Pwned 服务。
已泄露密码(pwned password)是指已经出现在公开泄露语料中的密码,因此会被攻击者用于撞库和喷洒等工具中的字典。最权威的来源是 Troy Hunt 运营的 Have I Been Pwned(HIBP)Pwned Passwords 数据集,目前公开超过十亿个唯一 SHA-1 散列。其 k-匿名 API 仅接收散列前 5 位十六进制字符,并返回该前缀下的完整后缀列表,因此候选密码不会离开客户端。NIST SP 800-63B 第 5.1.1.2 节明确要求将新设置或修改的密码与此类语料对比。Cloudflare、1Password、Okta 等厂商已将 HIBP API 集成到注册和改密流程中。
● 示例
- 01
用户设置 'P@ssw0rd123' 作为密码,注册表单因其在 HIBP 中出现 300 万次以上而拒绝。
- 02
Active Directory 模块定期将所有账户的 NTLM 散列与离线 Pwned Passwords 语料进行比对。
● 常见问题
已泄露密码 是什么?
已出现在已知数据泄露中的密码,因此绝不应再被允许作为用户口令,典型来源是 Troy Hunt 的 Have I Been Pwned 服务。 它属于网络安全的 身份与访问 分类。
已泄露密码 是什么意思?
已出现在已知数据泄露中的密码,因此绝不应再被允许作为用户口令,典型来源是 Troy Hunt 的 Have I Been Pwned 服务。
已泄露密码 是如何工作的?
已泄露密码(pwned password)是指已经出现在公开泄露语料中的密码,因此会被攻击者用于撞库和喷洒等工具中的字典。最权威的来源是 Troy Hunt 运营的 Have I Been Pwned(HIBP)Pwned Passwords 数据集,目前公开超过十亿个唯一 SHA-1 散列。其 k-匿名 API 仅接收散列前 5 位十六进制字符,并返回该前缀下的完整后缀列表,因此候选密码不会离开客户端。NIST SP 800-63B 第 5.1.1.2 节明确要求将新设置或修改的密码与此类语料对比。Cloudflare、1Password、Okta 等厂商已将 HIBP API 集成到注册和改密流程中。
如何防御 已泄露密码?
针对 已泄露密码 的防御通常结合技术控制与运营实践,详见上方完整定义。
已泄露密码 还有哪些其他名称?
常见的别称包括: 已泄漏密码, 被攻陷的密码, HIBP 密码。
● 相关术语
- identity-access№ 798
密码策略
一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。
- identity-access№ 795
密码
用户向系统证明身份所提供的一串秘密字符,传统上是占主导地位的单因素认证方式。
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
- attacks№ 800
密码喷洒攻击
低速广撒网式攻击:用少量常见密码尝试大量账户,以避开账户锁定和速率限制阈值。
- attacks№ 275
数据泄露事件
经证实的安全事件,未经授权方访问、外传或披露敏感、受保护或机密信息。
- identity-access№ 797
密码管理器
用于生成、存储并自动填充强壮且唯一凭据的应用程序,通常以主口令短语保护,并越来越多地结合 passkey。
● 参见
- № 796密码熵