ユーザーのパスワードが侵害されているかどうかを確認するにはどうすればよいですか?
最新のアドバイス(例: [〜#〜] nist [〜#〜] から)は、ユーザーのパスワードを既知の違反に対してチェックし、侵害されたパスワードを禁止することを推奨しています。
セキュリティの専門家ではない通常のWeb開発者がこれを実装するために実行できる比較的簡単な手順は何ですか?使用する違反とそれらをどこにダウンロードするかを知るだけで始まります。また、一般的なサイトがどこまで進むべきかについて意見を述べることも役立ちます(たとえば、違反を継続的に監視してリストを更新する必要はおそらくないでしょう)。
編集:SAAS以外のアプローチに主に関心がある
おそらく最も人気のあるパスワード違反チェックサイト HaveIBeenPwned は RESTful API をサポートしており、パスワードワークフローの一部としてクエリを実行できます。これにより、パスワードハッシュのサブセットを検索し、完全なハッシュと比較するために可能な一致のセットを返すことができます。ドキュメントの このセクション を参照してください。
HaveIBeenPwnedは、新しい違反が利用可能になると更新されるため、違反の監視について心配する必要はありません。