HaveIBeenPawnedパスワードAPIの超偏執的な使用は役に立ちますか？

彼らが私がHaveIBeenPawnedパスワードAPIを理解する方法は、サイトが「望んでも、部分的なハッシュで多くのことを実行できない」ため、安全なシステムであるということです。しかし、それは本当ですか？次のシナリオは実行可能ですか？

1. 私のパスワードはこれ以上安全ではありません

2. SHA1は37cbd1e930b737e4bcbd149c2fcaccbe066ce9c4です

3. 送信します https://api.pwnedpasswords.com/range/37cbd （一致しません）

4. HaveIBeenPawnedがダークサイドになり、私のIP +リクエストの記録を開始します。
5. 送信します https://api.pwnedpasswords.com/range/37cbd （一致しません）
6. 送信します https://api.pwnedpasswords.com/range/37cbd （一致しません）
7. 送信します https://api.pwnedpasswords.com/range/37cbd （一致しません）
8. 時間の経過とともに、HaveIBeenPawnedはより多くのリストを取得し、その中に100個の新しい37cbdエントリがあります。鉱山はまだありません。定期的に、私はAPIを実行しているIPのログインポータルに対してすべての〜500エントリをブルートフォースで攻撃しようとします（一致するものがあった場合、すぐにパスワードを変更し、彼らのAPIにぶつかるのをやめます。私がチェックし続けるという事実は彼らにとっても重要です）
9. 送信します https://api.pwnedpasswords.com/range/37cbd （一致しません）
10. 送信します https://api.pwnedpasswords.com/range/37cbd （一致しません）
11. 送信します https://api.pwnedpasswords.com/range/37cbd （一致しません）
12. HaveIBeenPawnedは101番目のエントリ37cbd1e930b737e4bcbd149c2fcaccbe066ce9c4ハッシュを取得し、それについて教えてくれません。
13. HaveIBeenPawnedが私のIPアドレスにアクセスし、クリアテキストのパスワードでログインします。

脆弱性の鍵は、同じハッシュをチェックし続けることです（それは私にいくつかの値があることを明らかにします）が、HaveIBeenPawnedは私が知らない知識（私の最近漏洩したパスワードに関するニュース）に基づいているため、使用できますそれは私に対して。忍耐力が必要な長いゲームですが、検索スペースを減らす効果的な方法だと思います。

この脆弱性を阻止する方法は2つあります。

• Torを使用してIPをいくらかランダム化する
• 実際のリクエストごとに100個の偽のリクエストを送信します。信号はまだノイズの中にありますが、今は少しだけ埋められています...十分埋められていますか？
• もっと良い方法はありますか？

あなたの答えが「HaveIBeenPawnedがそれをすることは決してないだろう、あなたがHaveIBeenPawnedを信頼していないのなら、それらを使用しないでください」です。私の質問は「完全に信頼していなくても、HaveBeenPawnedをより安全に使用できますか」です。