最近小编遇到几个网站软件在注册账号时都会提示我的密码不安全，不让设置。

这些提示都是说我的密码已经存在于HaveIBeenPwned 数据库了，被认为是不安全的。

出于好奇，就去搜了搜HaveIBeenPwned是何方神器。

Have I been Pwned?

Have I Been Pwned(HIBP), 是一个网站，它允许用户在线检查他们的个人数据是否存在数据泄露。 该服务收集并分析数百个包含数十亿泄露帐户信息的数据库，并允许用户通过输入用户名或电子邮件地址来搜索自己的信息。

找到官网 https://haveibeenpwned.com/ ，进去看了看瞧了瞧，这不就是国内说的所谓的“社工库”吗？

大概在5，6年前，小编注册大部分的论坛网站时，都是直接采用的QQ邮箱或QQ账号，最要命的是还是采用的都是同样的密码（墙裂建议每个平台密码设置为不一样）。

这样的话，一旦某一个通过QQ注册的第三方账号被盗，QQ账号也就玩完了。

当时还不清楚为啥被盗，后来无意得知“社工库”，输入QQ邮箱一试，果然就中招撞库了。

HIBP和社工库还是有不同的，HIBP上你并不能获取到泄露的密码，只能检索到是否被泄露过。

那么这个HIBP数据库是不是也记录了我的邮箱呢？

小编用被盗过的QQ账号邮箱地址试了试， 红色消息立马显示出来。

On no – pwned! 有3条记录！

网页往下翻，还可以看到具体是哪些网站泄露的。

对于我的邮箱来说，Adobe，以及安卓网论坛可能就是那次泄露密码的元凶了，密码就这样在暗网、社工库被兜售的吧。当然，其实还有一些数据泄露悄悄的就在暗网交易了，HIBP并不一定就收录了。

输入邮箱，如果没有检测到相关数据，就会显示绿色消息。

除了可以查看邮箱或用户名是否存在泄露的危险，还可以检查密码是否已在数据库里面。

点击网站顶部的Passwords，进入检索页面。

该页面数据库收录了5亿多已泄露的密码，在下方的搜索框输入密码，就可以查询密码是否在数据库里面了。

什么？还敢直接输密码？不怕这个网站监守自盗？

关于这个密码检索是否安全，网站的创始人Troy Hunt专门写了一篇文章来介绍该种方式的实现，以及其安全性：