Проверка пароля в утечках
Проверка утечек на основе k-anonymity API Have I Been Pwned — того же протокола, что стоит за 1Password Watchtower, Bitwarden Reports, Firefox Monitor и встроенным предупреждением Chrome о скомпрометированных паролях. Пароль хешируется локально, и на HIBP отправляется только 5-символьный префикс этого хэша. Сервер возвращает ~500 кандидатов с этим префиксом, и ваш браузер делает сопоставление — так что сам пароль и полный хэш никогда не покидают устройство. HIBP индексирует 850M+ уникальных скомпрометированных паролей из утечек вроде LinkedIn, Adobe, Collection #1 и сотен других.
Как пользоваться
Кликните в поле и введите или вставьте. Проверка стартует по сабмиту, не на каждом нажатии.
Браузер локально хеширует пароль и отправляет только первые 5 символов хэша на HIBP, который возвращает ~500 кандидатов для сопоставления.
Либо «не найден», либо «встречался N раз». Если найден — меняйте пароль везде, где он повторяется.
Используйте наш генератор паролей или генератор парольных фраз для уникальной надёжной замены.
Найдите свой пароль в базе утечек Have I Been Pwned через протокол k-anonymity
Особенности
Частые вопросы
Что именно отправляется на HIBP?
Только 5-символьный префикс хэша вашего пароля — ничего больше. Этот префикс пересекается примерно с 500 разными паролями, так что HIBP буквально не может определить, какой именно вы проверили. Ни cookies, ни аккаунта.
Что такое k-anonymity?
Модель приватности, в которой ваш запрос смешивается с k других неотличимых запросов. 5-символьный префикс хэша делает ваш поиск одним из ~500 — сервер не может однозначно идентифицировать, что вы искали.
Зачем использовать заведомо сломанную хэш-функцию?
Релевантная атака на SHA-1 — поиск коллизий (подделка двух разных файлов с одинаковым хэшем). Протокол k-anonymity от этого не зависит — ему нужно лишь, чтобы функция равномерно распределяла пароли по корзинам префиксов, с чем SHA-1 справляется. По той же причине HIBP, 1Password и Firefox Monitor всё ещё используют его для именно этой проверки.
Откуда данные?
Проект Have I Been Pwned Троя Ханта (haveibeenpwned.com), де-факто стандарт корпуса утечек. 850M+ уникальных скомпрометированных паролей, агрегированных из 850+ раскрытых утечек и курируемых списков.
Не найден — значит надёжный?
Не обязательно. Это лишь значит, что он не появлялся в опубликованной утечке. Короткий или предсказуемый пароль всё равно может быть взломан перебором за секунды. Прогоните также через проверку надёжности.
Что делать, если в утечке?
Прекратите использовать немедленно. Боты для credential stuffing пытаются каждый утёкший пароль на каждой форме входа, которую найдут — повторное использование — это то, как взламывают аккаунты. Сгенерируйте уникальную замену для каждого сайта, перейдите на менеджер паролей (Bitwarden, 1Password, KeePass) и включите 2FA где возможно.
Зачем это, если мой менеджер паролей уже проверяет утечки?
Для разовых проверок — пароль, увиденный в посте об утечке, вопрос коллеги «это безопасно?» или пароль, который вы ещё не положили в менеджер. Если вы уже пользуетесь 1Password Watchtower или Bitwarden Reports для всего хранилища, для этих паролей вам это не нужно.
Мы можем! И это бесплатно. Просто отправьте нам сообщение с вашим пожеланием. Если хотите обсудить детали — оставьте свою почту, и мы с вами свяжемся. Можно анонимно.
