Zum Inhalt springen
POST AI agent ready /v1/breach/check

API zur Überprüfung von Passwortverletzungen – Kostenlose „Have I Been Pwned“-Suche

Hasht das Passwort mit SHA-1, sendet nur die ersten 5 Zeichen des Hashs an die Have I Been Pwned-Datenbank und prüft, ob der vollständige Hash bei bekannten Verstößen vorkommt. Das vollständige Passwort und der vollständige Hash werden niemals übertragen. Gibt zurück, ob das Passwort verletzt wurde, wie oft es vorkam und eine Empfehlung.

Parameters

stringrequired

The password to check against known breaches.

Code examples

curl -X POST https://api.botoi.com/v1/breach/check \
  -H "Content-Type: application/json" \
  -d '{"password":"P@ssw0rd123"}'

When to use this API

Setzen Sie bei der Anmeldung sicherheitsrelevante Passwortrichtlinien durch

Überprüfen Sie Passwörter während der Kontoerstellung auf bekannte Verstöße. Lehnen Sie Passwörter ab, die in Sicherheitsdatenbanken auftauchen, und fordern Sie Benutzer auf, eine stärkere Alternative zu wählen. Reduziert das Credential-Stuffing-Risiko.

Überwachen Sie vorhandene Benutzerkennwörter in großen Mengen

Hashen Sie gespeicherte Passwörter und vergleichen Sie sie mit der Sicherheitsdatenbank. Markieren Sie betroffene Konten für obligatorische Passwort-Resets. Führen Sie dies als geplanten Job aus, nachdem schwerwiegende Verstöße bekannt wurden.

Fügen Sie Verstoßwarnungen zu Passwortänderungsabläufen hinzu

Wenn Benutzer ihr Passwort aktualisieren, überprüfen Sie das neue Passwort in Echtzeit. Zeigen Sie eine Warnung mit der Anzahl der Verstöße an, wenn das Passwort kompromittiert wurde. Lassen Sie die Benutzer fortfahren, aber machen Sie das Risiko sichtbar.

Frequently asked questions

Wird mein Passwort an den Server gesendet?
Ihr Passwort wird über HTTPS an die Botoi-API gesendet, wo es mit SHA-1 im Speicher gehasht wird. Nur die ersten 5 Zeichen des Hash werden an den Have I Been Pwned-Dienst gesendet. Das vollständige Passwort und der vollständige Hash verlassen niemals den Botoi-Server.
Was ist k-Anonymität?
k-Anonymität ist eine Datenschutztechnik, bei der nur ein Teil-Hash-Präfix an die Verstoßdatenbank gesendet wird. Die Datenbank gibt alle passenden Suffixe zurück und die Prüfung erfolgt lokal. Dies bedeutet, dass die Datenbank für Sicherheitsverletzungen nie erfährt, welchen spezifischen Hash Sie überprüfen.
Auf wie viele Verstöße wird geprüft?
Der Endpunkt fragt die Datenbank „Have I Been Pwned Pwned Passwords“ ab, die über 900 Millionen gehackte Passwörter enthält, die aus Hunderten von Datenschutzverletzungen stammen.
Bedeutet ein break_count von 0, dass das Passwort sicher ist?
Dies bedeutet, dass das Passwort nicht in Datenbanken mit bekannten Verstößen enthalten ist. Es ist nicht garantiert, dass das Passwort sicher ist. Ein eindeutiges, aber einfaches Passwort (wie „MyDog2026“) besteht diese Prüfung möglicherweise, ist aber dennoch erraten.
Kann ich mehrere Passwörter gleichzeitig überprüfen?
Nicht in einer einzigen Anfrage. Jede Prüfung erfordert einen separaten API-Aufruf. Senden Sie bei Massenprüfungen parallel Anfragen mit entsprechender Ratenbegrenzung.

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.

Sign up free View full docs