虽然，我们为了安全考虑，在注册用户时会检查密码规则，避免弱密码，比如百度的注册页面： 

但是，现在的黑客也不会傻到用穷举的办法生成密码去攻击网站，更常用的方式是使用已泄露密码生成的字典。

那这些字典从哪来的？

HIBP(have i been pwned)

我知道的，可以得到这些数据的最大网站是HIBP(https://haveibeenpwned.com/),上面提供了大量已泄露网站的信息，连FBI都向它提供数据： 

从网站提供的被泄露网站列表上看，已经有多家国内公司数据上榜，某知名网站也在列： 

网站上还可直接检查你的密码是否已经泄露，我们测试一个符合百度密码规则的看看： 

可以看到有多少人和你设一样的密码的了！囧

PwnedPasswords.Client NuGet包

网站也提供了API（https://haveibeenpwned.com/API/v3）用于执行检查操作。

而.Neter可以直接使用NuGet包PwnedPasswords.Client来调用API。

引用PwnedPasswords.Client NuGet包后，在Startup.cs文件的ConfigureServices方法中加入下列代码:

services.AddPwnedPasswordHttpClient(minimumFrequencyToConsiderPwned: 1000);

minimumFrequencyToConsiderPwned表示泄露次数超过此设置的才算弱密码。

使用HasPasswordBeenPwned检查密码是否已经泄露：

private readonly ILogger<WeatherForecastController> _logger;
private readonly IPwnedPasswordsClient pwnedPasswords;public WeatherForecastController(ILogger<WeatherForecastController> logger, 
IPwnedPasswordsClient pwnedPasswords)
{_logger = logger;this.pwnedPasswords = pwnedPasswords;
}[HttpGet]
public async Task<string> GetAsync(string password)
{if (await pwnedPasswords.HasPasswordBeenPwned(password)){ return "弱密码";}return "强密码";
}

结论

由于泄露密码随时在增加，建议在登录时也加上弱密码检测。

一旦发现密码属于已泄露的，则跳转到修改密码页面，要求用户重新设置密码。

如果你觉得这篇文章对你有所启发，请关注我的个人公众号”My IO“，记住我！