haveibeenpwned（HIBP）は無料で信頼できますか？

HaveIBeenPwned APIは、パスワードまたはハッシュがAPI経由で送信されることはないため、漏洩したパスワードをチェックしても安全です。 APIの仕組みは次のとおりです。

1. チェックするパスワードをハッシュ化する
2. ハッシュの最初の5文字を​​HIBP APIに送信します。
3. APIは、ハッシュの開始文字と一致する使用済みパスワードのハッシュを返します。
4. パスワードハッシュがリストに含まれているかどうかをサーバーでローカルに確認します。

他のポイントに対処するには、

1. サービスは無料です。
2. はい、 許可される使用法 に関するポリシーがあります。
3. [〜＃〜] hibp [〜＃〜] のホームページには、最近追加された違反と呼ばれるセクションがあります。執筆時点で追加された最新の違反は2018年12月で、データは2019年2月にインターネット上で漏洩し、2019年4月にサイトに追加されました。詳細は Twitterアカウント でも確認できます。 。平均して、1か月あたり10件のデータ侵害が追加されるようです。

その他のオプション

オプション3は、バックグラウンドで同じサービスを使用するため、ほぼ同じです。

オプションの中から、オプション2または3を選択します。これらはより定期的に更新されるためです。

1つ目または2つ目のオプションの使用の信頼性を確認したいと思います。パスワード辞書が更新される頻度はどれくらいですか。

私は1年以上HIBPを使用しています。今まで、私は彼らのサーバーからのダウンタイムに直面していませんでした。ただし、APIへの私のリクエストは、ある時点でブロックされました。並べ替えるには、サポートに連絡する必要がありました。

以下はブロックされないためのヒントです：

1. 公表されているレート制限内にしっかりと固執する
2. レート制限を回避するために、リクエストを複数のIPアドレスに分散しないでください。
3. あなたがそうすべきであると合理的に期待している人々のメールアドレスのみをクエリしてください。
4. 長期間にわたるAPIのクエリAPIドキュメントごとに、ユーザーエージェント文字列でアプリを明確に識別します。

ただし、API docs は、すべきこととすべきでないことについて非常に明確です。

パスワードディクショナリ/ APIの可用性についてはどうですか？これをカバーするポリシーはありますか？もしそうなら、私は何かのために支払う必要がありますか？

もう一度これに対する答えは上記と同じです。 HIBPは K-anonymity モデルを使用して脆弱なパスワードをチェックします。

すべて一緒に何かのために支払う必要はありません！。ちょうど限界に固執する。