Vérifie si ton mot de passe a fuité dans une brèche publique. On interroge HaveIBeenPwned, qui agrège plus de 800 brèches et 850 millions de mots de passe uniques. Ton mot de passe complet ne quitte jamais le navigateur : on le hash en SHA-1 localement, on envoie seulement les 5 premiers caractères hexadécimaux à l'API (k-anonymity), et le reste se compare dans ton onglet.
Comment vérifier un mot de passe
- Tape le mot de passe dans le champ. Il est masqué par défaut : clique sur l'icône en forme d'œil pour le révéler.
- Clique sur « Vérifier » ou appuie sur Entrée.
- Patiente 1 à 2 secondes. Le résultat s'affiche en vert (sûr) ou en rouge (trouvé dans des brèches, avec le nombre d'occurrences).
- S'il est compromis, change-le immédiatement sur chaque compte où il est utilisé. Génère un remplaçant inédit avec notre générateur de mots de passe, puis vérifie sa robustesse avec l'estimateur de force de mot de passe pour confirmer qu'il résiste aux attaques courantes.
Cas d'usage
Vérifier si un mot de passe que tu utilises depuis des années figure dans une brèche publique. Auditer les mots de passe d'une entreprise avant de durcir la politique de sécurité. Contrôler un mot de passe généré ailleurs. Vérifier si un vieux mot de passe stocké dans ton gestionnaire est toujours sûr ou s'il a été compromis il y a longtemps.
Questions fréquentes
Oui. Le hash SHA-1 est calculé localement via la Web Crypto API (crypto.subtle.digest). On envoie uniquement les 5 premiers caractères hexadécimaux du digest à l'API HaveIBeenPwned. L'API renvoie environ 800 hashs commençant par ce préfixe, et la comparaison avec ton hash se fait localement. Ouvre DevTools Network : tu ne verras qu'une requête /range/A1B2C où A1B2C est le préfixe public.