今天在一个网站(PyPI )注册账户，这个网站在我的判断中属于中等重要的网站，所以我选取了自己一个经常在中等重要网站上使用的密码。

(图源 ：pixabay)

按说在很多网站使用同一个密码不是一个好行为，不过要注册的网站那么多，都用不同的密码，哪里记得过来嘛，又不想用什么密码管理软件，所以就把网站分三六九等，重要的网站一站一密码，其它的视情况分配。

然而今天的密码输入后，竟然出现了如下提示：

文字内容如下：

This password appears in a security breach or has been compromised and cannot be used. Please refer to the FAQ for more information.

翻译过来就是：

此密码出现在安全漏洞中或已被破解，无法使用。更多信息请参考FAQ。

看了一下FAQ信息：

During each of these processes, PyPI generates a SHA-1 hash of the supplied password and uses the first five (5) characters of the hash to check the Have I Been Pwned API and determine if the password has been previously compromised. The plaintext password is never stored by PyPI or submitted to the Have I Been Pwned API.

大意就是说我注册的时候，它们用密码SHA-1 哈希的前5位去一个API那检查，然后判断密码是不是在安全漏洞中或者已经被破解过。

虽然我这个密码是用在中等重要的网站，但是也不是诸如123456，abc123这样超级简单的密码，之前图片中的密码强度也证实了这一点，毕竟是我精心设置的。

但是，既然说是被破解了，那肯定是被破解了，大概率的情况是我用这个密码的某个网站被拖库了，所以这个密码真的就不安全了。

既然如此，就重新选取个密码吧，哎，看来有时间要把用到这个密码的所有网站密码都换一下了，尽管其实被盗了也没啥。

不过，经过这件事，发现Have I Been Pwned 这个API，研究了一下，还是非常好玩的，这也算是有失有得吧。

相关链接

• https://pypi.org/help/#compromised-password
• https://haveibeenpwned.com/API/v2#SearchingPwnedPasswordsByRange

This page is synchronized from the post: ‘密码此前已被破解😱’