在线检测
JSON工具
编码/加密
图片处理
文字处理
格式化
网络
前端
后端
搜索工具、优惠码…⌘K

Have I Been Pwned

数据泄漏查询事实标准(Troy Hunt)

免费版澳大利亚★★★★★4.9数据泄漏邮箱安全密码检查Troy Hunt公益

简介

Have I Been Pwned(HIBP)由澳大利亚安全研究员 Troy Hunt 于 2013 年个人创办,是数据泄漏查询的行业事实标准。免费查邮箱 / 密码是否出现在历史泄漏库中,被 1Password、Mozilla、各国政府广泛集成。

官方域名
haveibeenpwned.com
价格模式
免费版
成立年份
2013
总部
澳大利亚

核心功能

  • 邮箱泄漏查询(免费)
  • Pwned Passwords API(K-Anonymity)
  • 泄漏邮件订阅告警
  • 域名监控(企业版)
  • HIBP API v3 程序化查询
  • 与 1Password / Firefox / Chrome 集成

优缺点

优点

  • 2013 年起家的行业事实标准
  • 邮箱查询完全免费
  • 不展示明文密码(K-Anonymity 设计)
  • 被 1Password / Firefox / Chrome 集成

缺点

  • 只索引已公开的泄漏库
  • 依赖 Troy Hunt 个人长期运营
  • API 高级功能需订阅

详细介绍

这是什么

Have I Been Pwned(业内简称 HIBP)由澳大利亚安全研究员 Troy Hunt 于 2013 年作为个人项目创办,如今已成为数据泄漏查询的行业事实标准。HIBP 不是商业公司——它是 Troy Hunt 一个人长期运营的公益项目,靠少量企业 API 订阅与捐赠维持。

它的工作方式很直接:Troy Hunt 收集互联网上公开发生的数据泄漏事件(公司数据库被脱裤、黑客论坛公开倾倒等),把里面的邮箱地址、密码哈希索引到 HIBP 数据库。任何人都可以免费在主页输入自己的邮箱,看是否出现在历史泄漏中。截至 2026 年,HIBP 数据库覆盖 130 亿+ 账户记录、800+ 起公开泄漏事件。

行业地位:1Password、Mozilla Firefox、Google Chrome、各国政府 CERT、Microsoft Edge 等都集成了 HIBP 的 Pwned Passwords API 作为密码安全检查的底层数据。

出海团队的合规用法

非常实用的几类场景:

  • **公司域名邮箱审计**:把所有员工邮箱输进去,看是否在历史泄漏中
  • **个人邮箱自查**:自己的 Gmail / 工作邮箱是否被泄漏过
  • **新员工入职安全教育**:让新人查一下自己的常用邮箱,直观感受密码风险
  • **客户支持泄漏告警**:客户报告"邮箱被滥用"时先查 HIBP 看历史
  • **K-Anonymity 密码 API**:在自家产品里集成密码强度检查(用前 5 位 SHA-1 哈希前缀查询,不上传完整密码)

关键参数(截至 2026-05 公开资料)

  • 邮箱查询:免费,无需注册
  • Pwned Passwords API:免费(k-anonymity 查询)
  • HIBP API v3:邮箱关联订阅查询,约 $3.50/月(个人)或更高(企业)
  • 数据规模:130 亿+ 账户记录 / 800+ 公开泄漏事件
  • 通知服务:免费订阅,新泄漏出现自动邮件告警

适合谁

  • 全员(不分技术)
  • 安全运维 / SOC
  • 产品开发(集成 Pwned Passwords 做密码检查)
  • 跨境企业的合规审计

不适合谁

  • 没有不适合的场景。HIBP 是少数应该被全民使用的安全工具

与主要竞品的区别

  • **vs Dehashed**:HIBP 完全公益 + 不展示明文密码 + 不卖完整泄漏库;Dehashed 商业化 + 展示部分明文 + 数据源含黑客论坛
  • **vs Mozilla Monitor**:Mozilla Monitor 底层数据就来自 HIBP,UI 更友好但功能子集

注意事项

  • **HIBP 只查"已知泄漏"**:未公开的泄漏库 HIBP 没有 — 不是"我邮箱没被 HIBP 标黑"就 100% 安全
  • **Pwned Passwords 用 k-anonymity**:查询时只上传密码 SHA-1 前 5 位,完整密码不出本地,隐私设计严谨
  • **Troy Hunt 个人项目**:依赖一个人长期运营,理论上有可持续性风险

法律与合规边界

完全合法。HIBP 索引的是已公开的泄漏数据,目的是帮用户自查防御。**不展示明文密码**——这是 Troy Hunt 长期坚持的原则。这与 Dehashed 等商业平台的差异很关键。

常见问题

HIBP 怎么用?

打开 haveibeenpwned.com,在主页输入你的邮箱地址,回车。会显示这个邮箱出现在历史哪些泄漏事件中。完全免费、无需注册。新泄漏出现时可以订阅免费邮件告警。

HIBP 会显示我的密码吗?

不会。Troy Hunt 长期坚持的原则是"绝不展示明文密码",HIBP 只显示你出现在哪个泄漏事件 + 该事件涉及的数据字段(邮箱 / 用户名 / 密码哈希 / IP 等)。如果想查"具体哪个密码被泄漏"用 Pwned Passwords API(K-Anonymity 安全查询)。

HIBP 和 Dehashed 选哪个?

看用途。**自查防御**用 HIBP——免费 + 公益 + 不展示明文,安全圈金标准;**深度安全研究**有合规需求时考虑 Dehashed——展示部分明文 + 商业化,但争议大。日常用户 HIBP 完全够。

"Pwned Passwords API" 安全吗?

安全。K-Anonymity 设计:本地把密码做 SHA-1,把哈希的**前 5 位**发给 HIBP,HIBP 返回所有前 5 位匹配的完整哈希列表(几百条),本地再比对。完整密码 / 完整哈希都不出本地,隐私设计严谨。

查到我邮箱被泄漏怎么办?

立刻:(1)改密码(如果还用历史密码);(2)开两步验证(2FA);(3)核对最近账号活动;(4)如果是企业邮箱通知 IT;(5)后续用密码管理器 + 唯一强密码。HIBP 提醒的是"曾经泄漏",行动是改回安全。

对比 Have I Been Pwned 与同类工具

替代品推荐

同类「安全传输」工具

信息核实于 ·评测最后更新于