有没有一种方法可以在不以明文形式发送电子邮件的情况下使用 haveibeenpwned (HIBP)?

Is there a way to use haveibeenpwned (HIBP) without sending email in clear text?

出于法律原因,我们无法将电子邮件以明文形式发送给 HIBP。

关于“域搜索”功能,没有 API(据我所知)。 它通过向您发送多封电子邮件来工作,没有 API,因此很难围绕它自动处理。

我还阅读了 Troy 的一篇旧博客 post 关于他为特定案例设置的域搜索回调系统:https://www.troyhunt.com/have-i-been-pwned-goes-little-bit/ 看起来不错但没有公开可用(这是我的理解)。

所以,如果 HIBP 不允许我这样做,我想到了基于它的其他解决方案:

Firefox 监视器和 1pwd: 他们使用 k-匿名原则 (https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/),即仅发送搜索到的电子邮件的哈希值。 不幸的是,该功能保留给 1pwd 和 firefox 监视器。

我是否缺少一种无需发送明确的电子邮件即可与 HIBP 交互的方法?

谢谢

简答:没有。

Mozilla 和 1Password 使用此处描述的 k-anonymity 模型:https://www.troyhunt.com/were-baking-have-i-been-pwned-into-firefox-and-1password/

我不公开的原因是每个 k-anonymity 搜索 returns 多个结果,这会让不法分子更容易滥用。域搜索需要在搜索时验证控制;不需要验证的 API 也可能被滥用。

如果您想查看新功能,请在此处推荐它们(如果它们已经存在,请对其进行投票):https://haveibeenpwned.uservoice.com/