PyPI 检查被社工的密码

查看原文

@dstufft 就近期 NPM 密码泄漏做了一次实验:用户登录的时候拿表单密码跟 HIBP 社工库数据做比对,结论是至少 0.7% 的用户被泄漏的密码也用在 PyPI 上,特别的,在 36 小时的实验中,这些用户发布的库在过去三十天内有近三百万的下载。

结论:麻烦每网站一密码,谢谢合作。