私はHIBPを調査し始めて、パブリックインターフェースでHIBPを使用できるかどうかを確認しました。
私の読書ごとに、私はチェックアウトするための3つのオプションがあります。
パスワード辞書をダウンロードして、自分の違反したパスワードチェッカーを実装する
hIBP APIを呼び出して、指定されたパスワードがすでに侵害されているかどうかを確認します
パスワードマネージャーの1つを使用してタスクを実行します(Troy Huntのブログで述べたように、1Password manager)
私はそれを支払う必要がないので、開発者として1番目または2番目のオプションを選択することを好みます。
1つ目または2つ目のオプションを使用する信頼性を確認したいと思います。パスワード辞書が更新される頻度はどれくらいですか。
パスワードディクショナリ/ APIの可用性についてはどうですか?これをカバーするポリシーはありますか?もしそうなら、私は何かのために支払う必要がありますか?
HaveIBeenPwned APIは、パスワードまたはハッシュがAPI経由で送信されることはないため、漏洩したパスワードをチェックしても安全です。 APIの仕組みは次のとおりです。
他のポイントに対処するには、
その他のオプション
オプション3は、バックグラウンドで同じサービスを使用するため、ほぼ同じです。
オプションの中から、オプション2または3を選択します。これらはより定期的に更新されるためです。
1つ目または2つ目のオプションの使用の信頼性を確認したいと思います。パスワード辞書が更新される頻度はどれくらいですか。
私は1年以上HIBPを使用しています。今まで、私は彼らのサーバーからのダウンタイムに直面していませんでした。ただし、APIへの私のリクエストは、ある時点でブロックされました。並べ替えるには、サポートに連絡する必要がありました。
以下はブロックされないためのヒントです:
ただし、API docs は、すべきこととすべきでないことについて非常に明確です。
パスワードディクショナリ/ APIの可用性についてはどうですか?これをカバーするポリシーはありますか?もしそうなら、私は何かのために支払う必要がありますか?
もう一度これに対する答えは上記と同じです。 HIBPは K-anonymity モデルを使用して脆弱なパスワードをチェックします。
すべて一緒に何かのために支払う必要はありません!。ちょうど限界に固執する。