Проверка пароля в утечках

Проверка утечек на основе k-anonymity API Have I Been Pwned — того же протокола, что стоит за 1Password Watchtower, Bitwarden Reports, Firefox Monitor и встроенным предупреждением Chrome о скомпрометированных паролях. Пароль хешируется локально, и на HIBP отправляется только 5-символьный префикс этого хэша. Сервер возвращает ~500 кандидатов с этим префиксом, и ваш браузер делает сопоставление — на HIBP уходит только 5-символьный префикс SHA-1, а не сам пароль или полный хэш. HIBP индексирует 850M+ уникальных скомпрометированных паролей из утечек вроде LinkedIn, Adobe, Collection #1 и сотен других.

Как пользоваться

1
Введите пароль

Кликните в поле и введите или вставьте. Проверка стартует по сабмиту, не на каждом нажатии.

2
Нажмите Проверить

Браузер локально хеширует пароль и отправляет только первые 5 символов хэша на HIBP, который возвращает ~500 кандидатов для сопоставления.

3
Смотрите результат

Либо «не найден», либо «встречался N раз». Если найден — меняйте пароль везде, где он повторяется.

4
Сгенерируйте замену

Используйте наш генератор паролей или генератор парольных фраз для уникальной надёжной замены.

Найдите свой пароль в базе утечек Have I Been Pwned через протокол k-anonymity

Модель k-anonymity. На HIBP уходят только первые 5 символов хэша вашего пароля. HIBP возвращает около 500 кандидатов с этим префиксом, и ваш браузер вычисляет, какой именно (если есть) — ваш. Сервер никогда не видит ни сам пароль, ни полный хэш. Тот же протокол используют 1Password Watchtower, Bitwarden Reports, Firefox Monitor и встроенное предупреждение Chrome о скомпрометированных паролях.
Не знаешь, что попробовать?
500+ бесплатных инструментов — открой сюрприз
🎲 Сюрприз

Возможности

Протокол k-anonymity
Спроектирован Cloudflare и Троем Хантом; используется 1Password Watchtower, Bitwarden Reports, Firefox Monitor и предупреждением Chrome. Сервер видит только 5-символьный префикс хэша, под который подходит ~500 разных паролей — какой именно ваш, определить нельзя.
850M+ скомпрометированных паролей
Have I Been Pwned агрегирует 850+ раскрытых утечек (LinkedIn, Adobe, MyFitnessPal, Collection #1…), покрывающих миллиарды учётных записей. Если ваш пароль в любой из них — этот инструмент его найдёт.
Хеширование локально перед отправкой
Пароль хешируется в браузере; на Have I Been Pwned уходит только 5-символьный префикс SHA-1 (k-anonymity).
Счётчик появлений
Не просто да/нет — видно, сколько раз пароль встречался во всех утечках. 1 хит — плохо; 100 000 хитов — он в каждом словаре для credential stuffing.
Без аккаунта и логов
Мы отправляем один префикс хэша в публичный range API HIBP и показываем ответ. Никаких cookies, сессий и записей о том, что вы проверяли.

Частые вопросы

Что именно отправляется на HIBP?

Только 5-символьный префикс хэша вашего пароля — ничего больше. Этот префикс пересекается примерно с 500 разными паролями, так что HIBP буквально не может определить, какой именно вы проверили. Ни cookies, ни аккаунта.

Что такое k-anonymity?

Модель приватности, в которой ваш запрос смешивается с k других неотличимых запросов. 5-символьный префикс хэша делает ваш поиск одним из ~500 — сервер не может однозначно идентифицировать, что вы искали.

Зачем использовать заведомо сломанную хэш-функцию?

Релевантная атака на SHA-1 — поиск коллизий (подделка двух разных файлов с одинаковым хэшем). Протокол k-anonymity от этого не зависит — ему нужно лишь, чтобы функция равномерно распределяла пароли по корзинам префиксов, с чем SHA-1 справляется. По той же причине HIBP, 1Password и Firefox Monitor всё ещё используют его для именно этой проверки.

Откуда данные?

Проект Have I Been Pwned Троя Ханта (haveibeenpwned.com), де-факто стандарт корпуса утечек. 850M+ уникальных скомпрометированных паролей, агрегированных из 850+ раскрытых утечек и курируемых списков.

Не найден — значит надёжный?

Не обязательно. Это лишь значит, что он не появлялся в опубликованной утечке. Короткий или предсказуемый пароль всё равно может быть взломан перебором за секунды. Прогоните также через проверку надёжности.

Что делать, если в утечке?

Прекратите использовать немедленно. Боты для credential stuffing пытаются каждый утёкший пароль на каждой форме входа, которую найдут — повторное использование — это то, как взламывают аккаунты. Сгенерируйте уникальную замену для каждого сайта, перейдите на менеджер паролей (Bitwarden, 1Password, KeePass) и включите 2FA где возможно.

Зачем это, если мой менеджер паролей уже проверяет утечки?

Для разовых проверок — пароль, увиденный в посте об утечке, вопрос коллеги «это безопасно?» или пароль, который вы ещё не положили в менеджер. Если вы уже пользуетесь 1Password Watchtower или Bitwarden Reports для всего хранилища, для этих паролей вам это не нужно.

💡 Хотите, чтобы мы улучшили этот инструмент лично для вас?

Мы можем! И это бесплатно. Просто отправьте нам сообщение с вашим пожеланием. Если хотите обсудить детали — оставьте свою почту, и мы с вами свяжемся. Можно анонимно.

Как вы оцениваете этот инструмент?

Спасибо за вашу оценку!
Хотите рассказать подробнее? Оставьте комментарий!
Спасибо! Ваш комментарий появится после модерации.
Инструмент пригодился?
Небольшой чай помогает держать 350+ инструментов бесплатными — а если пользуетесь постоянно, выгоднее Pro.
Кому подходит этот инструмент
Опубликовано Обновлено Авторы: