POST AI agent ready /v1/breach/check

パスワード侵害チェック API - 無料の Pwned 検索

パスワードを SHA-1 でハッシュし、ハッシュの最初の 5 文字のみを Have I Been Pwned データベースに送信し、完全なハッシュが既知の侵害に現れるかどうかを確認します。完全なパスワードと完全なハッシュが送信されることはありません。パスワードが侵害されたかどうか、侵害された回数、および推奨事項を返します。

Endpoint

Code examples

curl -X POST https://api.botoi.com/v1/breach/check \
  -H "Content-Type: application/json" \
  -d '{"password":"P@ssw0rd123"}'

When to use this API

サインアップ時に侵害を認識したパスワードポリシーを適用する

アカウント作成時に既知の侵害に対してパスワードをチェックします。侵害データベースに表示されるパスワードを拒否し、より強力な代替を選択するようユーザーに促します。クレデンシャルスタッフィングのリスクを軽減します。

既存のユーザーパスワードを一括監査する

保存されているパスワードをハッシュし、侵害データベースと照合します。影響を受けるアカウントに必須のパスワードリセットのフラグを立てます。重大な侵害が明らかになった後、これをスケジュールされたジョブとして実行します。

パスワード変更フローに違反警告を追加する

ユーザーがパスワードを更新すると、新しいパスワードをリアルタイムで確認できます。パスワードが侵害された場合は、侵害カウントとともに警告を表示します。ユーザーに作業を進めてもらいますが、リスクは可視化してください。

Frequently asked questions

私のパスワードはサーバーに送信されますか?

パスワードは HTTPS 経由で Botoi API に送信され、メモリ内で SHA-1 でハッシュ化されます。ハッシュの最初の 5 文字のみが Have I Been Pwned サービスに送信されます。完全なパスワードと完全なハッシュが Botoi サーバーから離れることはありません。

k-匿名性とは何ですか?

k-匿名性は、部分的なハッシュプレフィックスのみが侵害データベースに送信されるプライバシー技術です。データベースは一致するすべてのサフィックスを返し、チェックはローカルで行われます。これは、侵害データベースが、ユーザーがチェックしている特定のハッシュを決して学習しないことを意味します。

これで何件の違反がチェックされますか?

エンドポイントは、Have I Been Pwned Pwned Passwords データベースにクエリを実行します。このデータベースには、数百のデータ侵害から収集された 9 億件を超える侵害されたパスワードが含まれています。

breach_count が 0 ということは、パスワードが安全であることを意味しますか?

これは、パスワードが既知の侵害データベースに存在していないことを意味します。パスワードが強力であることを保証するものではありません。固有だが単純なパスワード (「MyDog2026」など) はこのチェックに合格する可能性がありますが、依然として推測可能です。

複数のパスワードを一度に確認できますか?

単一のリクエストではありません。各チェックには個別の API 呼び出しが必要です。一括監査の場合は、適切なレート制限を使用してリクエストを並行して送信します。

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.