Проверка пароля в утечках
Проверка пароля по базе утечек Have I Been Pwned через k-anonymity. Пароль локально хэшируется SHA-1; уходят только первые 5 hex-символов хэша. HIBP возвращает все слитые хэши с тем же префиксом (~500), и ваш браузер сравнивает локально оставшиеся 35 символов. Полный хэш — а значит и пароль — никуда не передаётся.
Как пользоваться
Проверка стартует только по клику, не на каждом нажатии.
Браузер считает SHA-1, отправляет первые 5 символов, получает ~500 кандидатов.
Либо «не найден», либо «встречался N раз». Если найден — меняйте везде.
Через наш генератор паролей или генератор парольных фраз.
Узнайте, утёк ли ваш пароль — не отправляя сам пароль никуда
Особенности
Частые вопросы
Уходит ли мой пароль с устройства?
Нет. Передаются только первые 5 hex-символов SHA-1. Под них подходит ~500 разных паролей — HIBP не знает, какой проверяли вы.
Что такое k-anonymity?
Модель приватности, в которой запрос смешивается с k другими неотличимыми. 5-символьный префикс делает ваш запрос неотличимым среди ~500 других.
SHA-1 же сломан, нет?
Сломана коллизионная стойкость (атака SHAttered), но k-anonymity на ней не основана. Префикс лишь равномерно раскладывает пароли по корзинам.
Откуда данные?
Проект Have I Been Pwned Троя Ханта (haveibeenpwned.com). 800+ публично-раскрытых утечек, 13+ миллиардов скомпрометированных учётных данных.
Не найден — значит надёжный?
Не обязательно. Только то, что не попадал в утечки. Короткий или предсказуемый пароль всё равно может быть взломан перебором.
Что делать если в утечке?
Прекратите использовать. Сгенерируйте уникальный на каждый сайт, где он повторяется. Заведите менеджер паролей. Включите 2FA где возможно.
Мы можем! И это бесплатно. Просто отправьте нам сообщение с вашим пожеланием. Если хотите обсудить детали — оставьте свою почту, и мы с вами свяжемся. Можно анонимно.
