将我的电子邮件地址提供给“ haveibeenpwn”这样的服务（根据“集合＃1”的发布）是否安全？

#1 楼

特洛伊·亨特（Troy Hunt）在他的博客，Twitter和haveibeenpwned.com的常见问题解答中多次解释了这个问题。
请参阅此处：

搜索电子邮件地址时
对于仅从存储中检索地址然后在响应中返回的电子邮件地址，搜索到的地址永远不会显式存储在任何地方。有关可能被隐式存储的情况，请参阅下面的“日志记录”部分。
标记为敏感的数据泄露不会在公共搜索中返回，只能通过使用通知服务并首先验证电子邮件地址的所有权来查看它们。域名所有者也可以搜索敏感违规，证明其使用域搜索功能控制了域。阅读为什么非敏感违规可以公开搜索的原因。
另请参阅“日志记录”段落
以及常见问题解答：

我怎么知道该站点不是只是收获搜索到的电子邮件地址？
您没有，但事实并非如此。该网站仅是旨在为人们提供免费服务，以评估与他们的帐户被盗有关的风险。与任何网站一样，如果您担心意图或安全性，请不要使用它。

我们当然必须信任Troy Hunt的主张，因为我们无法证明这一点在处理您的特定请求时，他没有做其他事情。
但是，我认为公平地说，haveibeenpwned是一项有价值的服务，而Troy Hunt本人也是infosec社区中受人尊敬的成员。 >但让我们假设我们不信任特洛伊：您要失去什么？您可以将您的电子邮件地址透露给他。当您只需输入所需的电子邮件地址时，这对您来说有多大的风险？
归根结底，HIBP为您提供免费服务（！），但需要花费Troy Hunt的钱。如果您不想冒险冒很多人对Troy Hunt的错误，您可以选择自己搜索世界上所有的密码数据库，因为那样您会泄露您的电子邮件地址。

评论

---

如前所述：这仅适用于haveibeenpwned.com。其他服务可能还很粗略，并且会将您的数据出售给垃圾邮件提供商。

–汤姆·K。
19年1月17日在14:14

---

HIBP是为您免费提供的服务（！），花费了Troy Hunt的钱，我发现这样做不利于您的回答，因为此类服务通常会找到一种从您发送的数据中赚钱的方法（例如，定向广告）。无论如何，它并没有回答“是否安全”问题。

–亚伦
19年1月17日在16:24

---

@Aaron特洛伊·亨特（Troy Hunt）的赚钱方式是通过其博客的赞助，而他实际上是许多著名活动的主旨发言人。除此之外，他还创建了Pluralsight课程，显然他也从中赚钱。

–凯文·沃恩（Kevin Voorn）
19年1月17日在17:16

---

除了仅适用于haveibeenpwned.com，此答案仅在发布此答案时适用于haveibeenpwned.com。任何认可的必要警告是，不能保证服务在其整个生命周期中都是值得信赖的。服务器可能会被黑客入侵，政策可能会发生变化，买断可能会发生，域名可能会被盗用，或者值得信赖的家伙可能会偶然发现他的超级坏蛋故事。

–未来的安全性
19年1月17日在20:23

---

@Aaron FYI Troy Hunt正在做有针对性的广告...该网站由1password赞助，考虑到该网站的访问者对或可能对密码安全感兴趣，这些广告是有针对性的广告形式

– Giacomo Alzetta
19年1月18日在8:27

---

#2 楼

特洛伊·亨特（Troy Hunt）是一位非常受人尊敬的信息安全专家，该服务已被全球数百万人使用，甚至某些密码管理器也正在使用该服务来验证用户选择的密码是否涉及数据泄露。

例如，参见https://1password.com/haveibeenpwned/

根据该网站，1Password与流行的网站Have I Pwned集成在一起，以监视您的登录名是否存在任何潜在的安全漏洞或漏洞。

在此站点上输入您的电子邮件地址将告诉您该电子邮件地址涉及哪些数据泄露，以便您可以返回到受影响的网站并更改密码。这是。如果您对多个网站使用了相同的密码，则很重要，其中从一个网站窃取的凭据可以通过一种称为凭据填充攻击的技术来攻击其他网站。


以下StackExchange帖子特洛伊（Troy）自己对服务的答复是
：
“我曾经被拥有过的”拥有的密码列表真的有用吗？

#3 楼

您没有明确询问这个问题，但是它与您的问题（并在评论中提到）非常相关，因此我想提出来。特别是，更多详细信息可以为评估诸如此类的内容提供一些线索。
参数
haveibeenpwned还具有一项服务，可让您查询以前是否已泄露给定密码。我可以看到这项服务更加“可疑”。毕竟，谁愿意在一个随机的网站中塞满密码？您甚至可以想象与怀疑论者的对话：


自我：如果我在这里输入密码，它将告诉我它是否曾经被黑客入侵！

怀疑论者：是的，但是您必须给他们输入密码

自我：也许，但是即使我不信任他们，如果他们也不知道我的电子邮件，那也没什么大不了的，他们不要求我提供电子邮件地址

怀疑论者：除了他们也有要求你的邮件。他们可能使用Cookie来关联您的两个请求，并同时获得您的电子邮件和密码。如果他们真的很偷偷摸摸，他们会使用基于非cookie的跟踪方法，因此很难说他们正在这样做！

自我：等等！它在这里说，他们不会发送我的密码，只是我密码哈希值的前几个字符。他们肯定不能从中获取我的密码！

怀疑论者仅仅因为他们说这并不意味着它是真的。他们可能确实会发送您的密码，将其与您的电子邮件相关联（因为您可能在同一会话中检查您的电子邮件），然后入侵您的所有帐户。

独立验证
当然，向我们发送数据后，我们无法验证会发生什么。您的电子邮件地址肯定已发送出去，并且不能保证他们不会秘密地将其转换为庞大的电子邮件列表，以用于下一波尼日利亚王子电子邮件。
但是密码如何，或者两个请求可能已连接呢？使用现代浏览器，很容易验证您的密码实际上没有发送到他们的服务器。设计该服务的目的是仅发送密码哈希值的前5个字符。然后，该服务返回以该前缀开头的所有已知密码的哈希。然后，客户端只需将完整的散列与返回的散列进行比较，以查看是否存在匹配项。密码甚至密码的哈希都不会发送。
您可以通过以下方法进行验证：转到密码搜索页面，打开开发人员工具，然后查看“网络”标签（chrome，firefox）。输入密码（如果您仍然担心，请输入密码），然后点击提交。如果对password执行此操作，则会看到命中https://api.pwnedpasswords.com/range/5BAA6的HTTP请求（5BAA6是password哈希值的前5个字符）。没有附加的cookie，并且实际提交的密码永远不会显示在请求中。它以大约500个条目的列表作为响应，其中包括1E4C9B93F3F0682250B6CF8331B7EE68FD8（目前）列出3645804匹配项-又名密码password在单独的密码泄漏中显示了大约350万次。 （password的SHA1哈希为5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8）。
仅凭此信息，该服务就无法知道您的密码，甚至无法显示在其数据库中。前五位数字之后可能会出现几乎无限多种的哈希，因此他们甚至无法猜测您的密码是否在其数据库中。
同样，我们无法确定会发生什么情况数据离开浏览器后，但他们确实付出了很多努力，以确保您可以检查密码是否泄露而无需实际发送密码。
总而言之，特洛伊绝对是社区中受人尊敬的成员，我们可以对此进行验证。当然，从来没有任何情况下社区的受信任成员以后会破坏这种信任：)我绝对使用这些服务，尽管我不知道您是否要信任Internet上的某个随机人。再说一次，如果您不愿意在互联网上信任某个随机的人，那您为什么在这里？

#4 楼

这里有许多答案都谈到了特定的服务“我已被拥有”。我同意他们的看法，这项服务值得信赖。我想说一些通常适用于所有这些服务的要点。


不要使用要求输入电子邮件和密码进行检查的服务。
请使用服务，可让您匿名登录而无需登录。

这些服务可检查已发生的数据泄露。如果您的电子邮件地址遭到破坏，则这些服务以及许多其他服务都已知道。搜索您的电子邮件不会触发任何新操作。

这种情况下，您最大的损失就是公开了您的电子邮件地址。但这对于任何网站或新闻通讯都是如此。

#5 楼

如果您对HIBP的信任度不足以向其发送电子邮件，但对Mozilla信任（例如，由于其他原因您已经向他们提供了电子邮件地址），则可以使用Firefox Monitor，这是Mozilla与HIBP合作构建的服务。他们查询HIBP数据库，而无需将您的电子邮件发送给HIBP。 （我不确定Mozilla是否收到您的电子邮件地址，或者是否在客户端对其进行了哈希处理。）

#6 楼

取决于您所说的“安全”的含义以及您的偏执程度。

网站的创建者是安全专家，并不意味着该网站没有安全漏洞。

网站支持TLSv1.2和TLSv1.3，当然很棒。

https://haveibeenpwned.com正在使用Cloudflare。众所周知，Cloudflare是一个中间人。该网站的加密在被Cloudflare破坏到实际服务器的途中。

现在，例如，NSA可以敲开Cloudflares的门，让数据移动。但是您不必担心其他攻击者，因为只有Cloudflare和实际的目标服务器才能解密数据。

如果您不在乎NSA或其他情报机构是否可以获取数据，将其发送到https://haveibeenpwned.com，则应该没有问题。除非您不信任安全专家。

就个人而言，我宁愿暴露我的帐户凭据，也不希望Cloudflare（NSA）获取我的数据。

注意：只是对偏执狂的回答。对于那些不偏执的人，其他答案应该会更好。