비밀번호 유출 확인기
Have I Been Pwned k-anonymity API를 기반으로 한 유출 확인기. 비밀번호는 브라우저에서 SHA-1로 해시되며, 40자 해시 중 처음 5자만 api.pwnedpasswords.com으로 전송됩니다. HIBP는 그 접두사를 공유하는 모든 유출 해시(~500개)를 반환하고 페이지가 나머지 35자를 비교합니다. 이것은 1Password Watchtower, Bitwarden Reports, Firefox Monitor가 내부적으로 사용하는 동일한 프로토콜입니다 — HIBP가 850M+ 유출된 비밀번호를 인덱싱하며 모든 주요 도구의 표준입니다.
사용 방법
필드를 클릭하고 입력하거나 붙여넣으세요. 확인은 모든 키 입력이 아니라 제출 시 실행됩니다.
브라우저가 SHA-1로 비밀번호를 해시하고, 그 해시의 처음 5개 hex 문자만 HIBP로 전송하고, ~500개의 후보 접미사를 받습니다.
"찾지 못함" 또는 "N회 발견". 발견되면 재사용된 모든 곳에서 비밀번호를 변경하세요.
비밀번호 생성기나 패스프레이즈 생성기로 고유하고 강력한 교체를 만드세요.
k-익명성 프로토콜을 통해 Have I Been Pwned 유출 데이터베이스에서 비밀번호를 조회하세요
특징
FAQ
HIBP로 정확히 무엇이 전송됩니까?
비밀번호의 SHA-1 해시 처음 5자만 — https://api.pwnedpasswords.com/range/{prefix}로의 GET. 그 접두사는 약 500개의 서로 다른 비밀번호와 충돌하므로 HIBP는 어떤 것을 확인했는지 알 수 없습니다.
k-익명성이 무엇입니까?
쿼리가 k개의 다른 구별 불가능한 쿼리와 섞이는 개인정보 모델입니다. 5자 SHA-1 접두사를 전송한다는 것은 쿼리가 ~500개의 다른 쿼리와 구별 불가능하다는 의미이며, 서버는 무엇을 조회했는지 고유하게 식별할 수 없습니다.
왜 SHA-1입니까, 손상되지 않았습니까?
SHA-1은 충돌 저항성이 손상되었지만(SHAttered 공격) k-익명성은 그에 의존하지 않습니다. 접두사는 실제 비밀번호를 버킷에 고르게 분산시키기만 하면 되며, SHA-1은 이를 잘 수행합니다.
유출 데이터는 어디에서 옵니까?
Troy Hunt의 Have I Been Pwned 프로젝트(haveibeenpwned.com)입니다. 공개된 유출과 큐레이트된 목록을 집계합니다. 800+개의 유출; 130억+개의 손상된 자격 증명.
내 비밀번호가 데이터베이스에 없습니다 — 강력합니까?
반드시 그렇지는 않습니다. 단지 아직 유출 데이터베이스에 나타나지 않았다는 의미입니다. 짧거나 예측 가능한 비밀번호는 여전히 온라인 또는 오프라인 무차별 대입으로 깨질 수 있습니다. 항상 강도를 별도로 테스트하세요.
유출된 경우 어떻게 해야 합니까?
즉시 사용을 중단하세요. 비밀번호가 재사용된 모든 사이트에 대해 고유한 교체를 생성하세요. 비밀번호 관리자로 전환하세요. 가능한 모든 곳에서 2FA를 활성화하세요.
무료로 가능합니다! 아이디어를 간단히 보내주세요. 자세히 논의하고 싶으시면 이메일을 남겨주시면 연락드리겠습니다. 익명으로도 가능합니다.
