
Have I Been Pwned
数据泄漏查询事实标准(Troy Hunt)
简介
Have I Been Pwned(HIBP)由澳大利亚安全研究员 Troy Hunt 于 2013 年个人创办,是数据泄漏查询的行业事实标准。免费查邮箱 / 密码是否出现在历史泄漏库中,被 1Password、Mozilla、各国政府广泛集成。
核心功能
- 邮箱泄漏查询(免费)
- Pwned Passwords API(K-Anonymity)
- 泄漏邮件订阅告警
- 域名监控(企业版)
- HIBP API v3 程序化查询
- 与 1Password / Firefox / Chrome 集成
优缺点
优点
- 2013 年起家的行业事实标准
- 邮箱查询完全免费
- 不展示明文密码(K-Anonymity 设计)
- 被 1Password / Firefox / Chrome 集成
缺点
- 只索引已公开的泄漏库
- 依赖 Troy Hunt 个人长期运营
- API 高级功能需订阅
详细介绍
这是什么
Have I Been Pwned(业内简称 HIBP)由澳大利亚安全研究员 Troy Hunt 于 2013 年作为个人项目创办,如今已成为数据泄漏查询的行业事实标准。HIBP 不是商业公司——它是 Troy Hunt 一个人长期运营的公益项目,靠少量企业 API 订阅与捐赠维持。
它的工作方式很直接:Troy Hunt 收集互联网上公开发生的数据泄漏事件(公司数据库被脱裤、黑客论坛公开倾倒等),把里面的邮箱地址、密码哈希索引到 HIBP 数据库。任何人都可以免费在主页输入自己的邮箱,看是否出现在历史泄漏中。截至 2026 年,HIBP 数据库覆盖 130 亿+ 账户记录、800+ 起公开泄漏事件。
行业地位:1Password、Mozilla Firefox、Google Chrome、各国政府 CERT、Microsoft Edge 等都集成了 HIBP 的 Pwned Passwords API 作为密码安全检查的底层数据。
出海团队的合规用法
非常实用的几类场景:
- **公司域名邮箱审计**:把所有员工邮箱输进去,看是否在历史泄漏中
- **个人邮箱自查**:自己的 Gmail / 工作邮箱是否被泄漏过
- **新员工入职安全教育**:让新人查一下自己的常用邮箱,直观感受密码风险
- **客户支持泄漏告警**:客户报告"邮箱被滥用"时先查 HIBP 看历史
- **K-Anonymity 密码 API**:在自家产品里集成密码强度检查(用前 5 位 SHA-1 哈希前缀查询,不上传完整密码)
关键参数(截至 2026-05 公开资料)
- 邮箱查询:免费,无需注册
- Pwned Passwords API:免费(k-anonymity 查询)
- HIBP API v3:邮箱关联订阅查询,约 $3.50/月(个人)或更高(企业)
- 数据规模:130 亿+ 账户记录 / 800+ 公开泄漏事件
- 通知服务:免费订阅,新泄漏出现自动邮件告警
适合谁
- 全员(不分技术)
- 安全运维 / SOC
- 产品开发(集成 Pwned Passwords 做密码检查)
- 跨境企业的合规审计
不适合谁
- 没有不适合的场景。HIBP 是少数应该被全民使用的安全工具
与主要竞品的区别
- **vs Dehashed**:HIBP 完全公益 + 不展示明文密码 + 不卖完整泄漏库;Dehashed 商业化 + 展示部分明文 + 数据源含黑客论坛
- **vs Mozilla Monitor**:Mozilla Monitor 底层数据就来自 HIBP,UI 更友好但功能子集
注意事项
- **HIBP 只查"已知泄漏"**:未公开的泄漏库 HIBP 没有 — 不是"我邮箱没被 HIBP 标黑"就 100% 安全
- **Pwned Passwords 用 k-anonymity**:查询时只上传密码 SHA-1 前 5 位,完整密码不出本地,隐私设计严谨
- **Troy Hunt 个人项目**:依赖一个人长期运营,理论上有可持续性风险
法律与合规边界
完全合法。HIBP 索引的是已公开的泄漏数据,目的是帮用户自查防御。**不展示明文密码**——这是 Troy Hunt 长期坚持的原则。这与 Dehashed 等商业平台的差异很关键。
常见问题
HIBP 怎么用?
打开 haveibeenpwned.com,在主页输入你的邮箱地址,回车。会显示这个邮箱出现在历史哪些泄漏事件中。完全免费、无需注册。新泄漏出现时可以订阅免费邮件告警。
HIBP 会显示我的密码吗?
不会。Troy Hunt 长期坚持的原则是"绝不展示明文密码",HIBP 只显示你出现在哪个泄漏事件 + 该事件涉及的数据字段(邮箱 / 用户名 / 密码哈希 / IP 等)。如果想查"具体哪个密码被泄漏"用 Pwned Passwords API(K-Anonymity 安全查询)。
HIBP 和 Dehashed 选哪个?
看用途。**自查防御**用 HIBP——免费 + 公益 + 不展示明文,安全圈金标准;**深度安全研究**有合规需求时考虑 Dehashed——展示部分明文 + 商业化,但争议大。日常用户 HIBP 完全够。
"Pwned Passwords API" 安全吗?
安全。K-Anonymity 设计:本地把密码做 SHA-1,把哈希的**前 5 位**发给 HIBP,HIBP 返回所有前 5 位匹配的完整哈希列表(几百条),本地再比对。完整密码 / 完整哈希都不出本地,隐私设计严谨。
查到我邮箱被泄漏怎么办?
立刻:(1)改密码(如果还用历史密码);(2)开两步验证(2FA);(3)核对最近账号活动;(4)如果是企业邮箱通知 IT;(5)后续用密码管理器 + 唯一强密码。HIBP 提醒的是"曾经泄漏",行动是改回安全。