POST AI agent ready /v1/breach/check

密码泄露检查 API - 免费查找我是否被破解

使用 SHA-1 对密码进行哈希处理，仅将哈希值的前 5 个字符发送到 Have I Been Pwned 数据库，并检查完整哈希值是否出现在已知漏洞中。完整的密码和完整的哈希值永远不会被传输。返回密码是否被泄露、密码出现的次数以及建议。

Endpoint

Code examples

curl -X POST https://api.botoi.com/v1/breach/check \
  -H "Content-Type: application/json" \
  -d '{"password":"P@ssw0rd123"}'

When to use this API

在注册时强制执行泄露感知密码策略

在帐户创建过程中检查密码是否存在已知漏洞。拒绝出现在违规数据库中的密码并提示用户选择更强的替代方案。降低撞库风险。

Audit existing user passwords in bulk

对存储的密码进行哈希处理，并根据泄露数据库对其进行检查。将受影响的帐户标记为强制密码重置。在重大违规事件披露后，将其作为计划作业运行。

向密码更改流程添加违规警告

When users update their password, check the new password in real time. Show a warning with the breach count if the password is compromised. Let users proceed but make the risk visible.

Frequently asked questions

Is my password sent to the server?

您的密码将通过 HTTPS 发送到 Botoi API，并在内存中使用 SHA-1 进行哈希处理。仅哈希值的前 5 个字符会发送到 Have I Been Pwned 服务。完整的密码和完整的哈希值永远不会离开 Botoi 服务器。

什么是 k-匿名？

k-匿名是一种隐私技术，其中仅将部分哈希前缀发送到违规数据库。数据库返回所有匹配的后缀，并且检查在本地进行。这意味着违规数据库永远不会知道您正在检查哪个特定哈希。

此检查可检查多少违规行为？

端点查询 Have I Been Pwned Pwned Passwords 数据库，该数据库包含从数百次数据泄露中收集的超过 9 亿个被泄露的密码。

Break_count 为 0 是否意味着密码安全？

这意味着该密码尚未出现在已知的泄露数据库中。它不保证密码的强度。唯一但简单的密码（例如“MyDog2026”）可能会通过此检查，但仍然可以猜测。

我可以一次检查多个密码吗？

Not in a single request. 每项检查都需要单独的 API 调用。对于批量审核，请与适当的速率限制并行发送请求。

Get your API key

Free tier includes 5 requests per minute with no credit card required. Upgrade for higher limits.