今天在一个网站(PyPI )注册账户,这个网站在我的判断中属于中等重要的网站,所以我选取了自己一个经常在中等重要网站上使用的密码。
(图源 :pixabay)
按说在很多网站使用同一个密码不是一个好行为,不过要注册的网站那么多,都用不同的密码,哪里记得过来嘛,又不想用什么密码管理软件,所以就把网站分三六九等,重要的网站一站一密码,其它的视情况分配。
然而今天的密码输入后,竟然出现了如下提示:
文字内容如下:
This password appears in a security breach or has been compromised and cannot be used. Please refer to the FAQ for more information.
翻译过来就是:
此密码出现在安全漏洞中或已被破解,无法使用。更多信息请参考FAQ。
看了一下FAQ信息:
During each of these processes, PyPI generates a SHA-1 hash of the supplied password and uses the first five (5) characters of the hash to check the Have I Been Pwned API and determine if the password has been previously compromised. The plaintext password is never stored by PyPI or submitted to the Have I Been Pwned API.
大意就是说我注册的时候,它们用密码SHA-1 哈希的前5位去一个API那检查,然后判断密码是不是在安全漏洞中或者已经被破解过。
虽然我这个密码是用在中等重要的网站,但是也不是诸如123456,abc123这样超级简单的密码,之前图片中的密码强度也证实了这一点,毕竟是我精心设置的。
但是,既然说是被破解了,那肯定是被破解了,大概率的情况是我用这个密码的某个网站被拖库了,所以这个密码真的就不安全了。
既然如此,就重新选取个密码吧,哎,看来有时间要把用到这个密码的所有网站密码都换一下了,尽管其实被盗了也没啥。
不过,经过这件事,发现Have I Been Pwned 这个API,研究了一下,还是非常好玩的,这也算是有失有得吧。
相关链接
- https://pypi.org/help/#compromised-password
- https://haveibeenpwned.com/API/v2#SearchingPwnedPasswordsByRange
This page is synchronized from the post: ‘密码此前已被破解😱’