跳到主要内容

密码泄露检测,k-匿名 HIBP 查询,密码不出浏览器

密码泄露检测,用 k-匿名算法 (HIBP) 查密码是否在已知泄露库里,密码不离开浏览器。

  • 本地处理
  • 分类 文本
  • 适合 分享前检查文件类型、大小、元数据和明显不匹配信号。
隐私保证 —— 以及更强的一条建议:
本工具用的是 HaveIBeenPwned 公开 k-匿名 API:密码在本地哈希,只有 SHA-1 哈希的前 5 个十六进制字符会经过网络。即便如此,最强建议依然是:用密码管理器给每个站点生成随机密码 —— 本工具是安全网,不是替代品。
要检测的密码

在上方输入密码后点击「查询」。点击前不会发送任何请求。

这个工具能做什么

认真做的密码泄露检测工具。背后调用的是公开的 HaveIBeenPwned k-匿名 API(1Password、 Firefox Monitor 用的就是同一个),但你的完整密码绝对不会经过网络。点击「检测」时 浏览器里发生的事如下:(1) 在本地用 Web Crypto API(crypto.subtle.digest)算出 密码的 SHA-1 哈希;(2) 取该 40 位哈希的前 5 个十六进制字符,只把这 5 个字符发到 api.pwnedpasswords.com;(3) 服务器返回大约 800 条以这 5 个字符开头的泄露哈希 尾段(一个谁也不认识谁的大草堆);(4) 用剩下的 35 个字符在浏览器里本地比对。 服务器始终看不到密码本身、看不到完整哈希,也无法反推出任何一项。命中结果会附带 简单的强度提示(长度/字符集/常见弱口令模式)和具体修改建议。**即便有 k-匿名保护, 如果你刚才输入的是某个真实在用的密码,最强建议依然是:换用密码管理器,让它给每个 站点生成一串随机密码。**

工具细节

输入
数值
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制 + 预览
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
可能使用网络查询
组件源码里检测到网络调用,页面会按工具逻辑处理;敏感内容建议先脱敏。
保存 / 分享
免账号使用
打开页面即可使用;刷新后是否保留结果取决于具体工具。
性能预算
首屏 JS ≤ 18 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
文本 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

密码泄露检测 适合怎么用

适合在上传、交付、归档、客服排查前使用,也适合任何文件离开本机前的本地复核。

适合文件任务

  • 分享前检查文件类型、大小、元数据和明显不匹配信号。
  • 上传、归档、接收或审核前整理混合文件夹。
  • 敏感文件先留在浏览器里处理,不用交给账号型服务。

文件检查项

  • 不要只凭扩展名判断真实文件类型。
  • 文件发给客户、供应商或公开页面前,先看元数据。
  • 复制、转换或导出结果确认前,保留原文件。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 JWT 解码器 解码 JWT 的 Header / Payload / Signature,看声明、查过期、复制字段,全程浏览器本地 打开
  2. 2 密码生成器 基于 crypto.getRandomValues 的专业级密码生成器,强密码 + Passphrase 双模式,纯浏览器运行。 打开
  3. 3 密码强度检测 密码强度检测:熵值、破解时间预估、常见泄露模式离线匹配。 打开

真实使用场景

  • 在新站复用旧密码前先验一下

    你正准备把那个「万年常用密码」又用到一个新注册的账号上。先粘到这里查一下。 如果显示出现次数 3400,那就是 3400 条破解字典条目正盯着它。换成给新站现生成的 20 位随机串,花 15 秒就躲掉了一次撞库被接管的风险。

  • 员工离职交接时审查团队共享账号

    有同事离职,你接手了一个共享的 CI 或监控登录账号。在判断要不要紧急换密码前, 把当前密码贴这里查。次数为 0 至少说明它还没进任何公开泄露库;只要次数大于 0, 换密码这件事就提到今天做。k-匿名流程保证你不会把这条在用凭据暴露给第三方。

  • 给家里不懂技术的长辈讲清「Summer2024!」为什么危险

    家里长辈坚持说自己的密码「够复杂了」。你输个相近的模式比如「Summer2024!」, 把那个常常上万的出现次数给他看。一个真实数字比讲道理管用得多。然后陪他一起 打开下面链接的密码生成器,装好 Bitwarden,让他只记一个主口令就行。

  • 确认密码管理器生成的随机串是真唯一

    就算是随机生成器,如果位数短、熵不够,偶尔也会撞上一个已经在泄露库里的串。 生成一个 12 位密码后,粘到这里查。次数为 0 才能确认它不在 8 亿条语料里,可以 放心当一次性密码用。但凡是守着钱或邮箱的账号,把长度拉到 20 位以上再查一遍。

常见踩坑

  • 以为「次数为 0」就等于密码强。它只说明还没进公开泄露库而已。「Xq7」次数也是 0,但秒破。要看长度和字符集,不能只看泄露状态。

  • 把泄露过的密码只改个尾号就接着用,比如「monkey1」改成「monkey2」。攻击者的规则集第一批就跑这些变形,所谓「新」密码其实早被破了。

  • 贴了一个真实在用的生产密码后却不去换它。即便有 k-匿名保护,只要你在任何地方敲过它,正确做法就是当它已废,去管理器里现生成一个随机的。

隐私说明

你的密码完全在浏览器本地用 Web Crypto API 算成 SHA-1,只有该哈希的前 5 个十六进制 字符会离开设备,发往公开的 HIBP range 接口。完整密码、完整哈希、以及最后的命中比对 全部留在本地。这个工具故意不把密码同步进 URL,所以敏感内容不会落到历史记录、书签或 分享链接里。我们服务器上不存任何东西。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

看这个职业的全部工具
Made by Toolora · 100% client-side · Updated 2026-06-14