密码泄露查询

绝对安全。本工具使用 k-Anonymity 协议：您的密码首先在浏览器本地被计算成 SHA-1 哈希值（一串40位的十六进制字符）， 然后只取哈希的前5位（共约100万种可能）发送到 Have I Been Pwned 的 API 服务器。 服务器返回所有以该前缀开头的哈希后缀（通常数百条），您的浏览器在本地完成完整哈希比对。 整个过程中，您的原始密码和完整哈希值从未离开您的设备。您可以打开开发者工具的"网络"面板验证这一点。

本工具对接 Have I Been Pwned (HIBP) 的密码数据库，由安全专家 Troy Hunt 维护。 该数据库汇总了来自公开数据泄露事件中的超过 8.5亿个 真实泄露密码（截至2025年）， 覆盖 Adobe、LinkedIn、MySpace、Dropbox 等重大泄露事件。查询结果直接反映该密码是否曾在已知的数据泄露中出现过。

1. 立即更改密码：在所有使用该密码的网站和服务上更换为新密码。
2. 启用双因素认证（2FA）：为重要账户（邮箱、银行、社交媒体）开启双重验证。
3. 使用密码管理器：为每个网站生成唯一的强密码，推荐 Bitwarden、1Password 或 KeePass。
4. 检查关联账户：如果泄露密码关联了邮箱，检查该邮箱是否也出现在数据泄露中。
5. 警惕钓鱼攻击：密码泄露后可能会收到针对性的钓鱼邮件，保持警惕。

SHA-1（安全哈希算法1）是一种加密哈希函数，能将任意长度的数据转换为固定40位十六进制字符串。 虽然 SHA-1 在密码学上已不再安全（存在碰撞攻击），但 HIBP 使用它是因为大多数历史数据泄露中的密码都以 SHA-1 格式存储。 在本工具中，SHA-1 仅用于查询索引，而非加密保护——真正的安全保障来自 k-Anonymity 协议，即您的完整哈希不会离开本地。

k-Anonymity（k-匿名性）是隐私保护领域的核心概念，指在一组数据中，任何个体的信息都无法与其他至少 k-1 个个体区分开来。 在本工具中，哈希前缀对应约 400-800 个不同密码（即 k ≈ 400-800），服务器返回所有这些匹配项， 因此无法判断您具体查询的是哪一个。k 值越大，隐私保护越强。HIBP 使用5位十六进制前缀（16⁵ = 1,048,576 个桶）， 确保了足够大的匿名集。

• 长度优先：至少12位，越长越好（推荐16位以上）。
• 随机生成：使用密码管理器生成完全随机的字符串，如 xk9#mP2$vL7@qR4。
• 避免个人信息：不要使用生日、姓名、宠物名等容易猜到的信息。
• 每站不同：为每个网站使用完全不同的密码，防止"撞库攻击"。
• 密码短语：如果必须手动记忆，使用4-6个随机单词组合，如 correct-horse-battery-staple（参考 XKCD 936）。

数据泄露事件频发，全球每年有数十亿条用户凭证被泄露到暗网。攻击者利用这些泄露数据进行凭证填充（Credential Stuffing）攻击—— 使用泄露的用户名和密码组合尝试登录其他网站。如果您在多个网站使用相同密码，一旦其中一个网站泄露， 所有使用该密码的账户都面临风险。定期检查密码是否已泄露，是保护数字身份安全的重要一步。

Have I Been Pwned 官方网站也提供密码查询功能，且同样使用 k-Anonymity 协议。本工具在此基础上提供了：

• 中文界面：更适合中文用户理解和操作。
• 本地化说明：详细的中文安全建议和知识科普。
• 透明可见：在加载过程中显示实际发送的哈希前缀，增强信任。
• 即开即用：无需跳转到外部网站，在本站即可完成查询。

底层数据源完全一致，均来自 HIBP 的官方 API。