API de vérification de fuite de mot de passe
Vérifiez si un mot de passe est apparu dans des fuites de données connues — en tant qu'API sur le corpus Pwned Passwords de Have I Been Pwned (800+ millions de mots de passe compromis uniques). Il utilise l'anonymat k : seuls les 5 premiers caractères du hachage SHA-1 d'un mot de passe sont envoyés en amont, de sorte que le mot de passe lui-même ne quitte jamais complètement le système. Transmettez un mot de passe (haché en mémoire, jamais stocké ni journalisé — envoyez-le via POST pour qu'il n'apparaisse jamais dans une URL/un journal) ou un hachage SHA-1 pour savoir s'il a été compromis et combien de fois ; ou récupérez une plage d'anonymat k brute pour un préfixe de hachage de 5 caractères et effectuez la correspondance entièrement de votre côté pour une exposition nulle du mot de passe. Le filtrage des inscriptions et des réinitialisations de mot de passe par rapport aux listes de mots de passe compromis est recommandé par NIST 800-63b, et cela en fait une vérification en un seul appel. Une ressource de sécurité des fuites / informations d'identification — distincte des générateurs de mots de passe, du hachage cryptographique et de bcrypt. Données ouvertes de Have I Been Pwned (Troy Hunt), CC BY 4.0.
api.oanor.com/pwned-api
