Sprawdź, czy Twoje hasło wyciekło w jednym z publicznych wycieków danych. Korzystamy z bazy HaveIBeenPwned - agregatu ponad 800 wycieków zawierających ponad 850 mln unikalnych haseł. Pełne hasło nigdy nie opuszcza Twojej przeglądarki: liczymy lokalnie skrót SHA-1, wysyłamy do API tylko 5 pierwszych znaków (k-anonymity), a finalne porównanie odbywa się u Ciebie.
Jak sprawdzić hasło
- Wpisz hasło w pole. Domyślnie jest ukryte - kliknij ikonę oka, by zobaczyć.
- Kliknij "Sprawdź" lub naciśnij Enter.
- Czekaj 1-2 sekundy. Wynik pojawi się jako zielony (bezpieczne) lub czerwony (znalezione w wyciekach z liczbą wystąpień).
- Jeśli hasło wyciekło - natychmiast wymień je w każdym koncie, gdzie go używasz. Nowe, jeszcze niewyciekłe, wygenerujesz w generatorze haseł, a wynik puść jeszcze przez estymator siły hasła, żeby mieć pewność, że przeżyje typowe ataki.
Zastosowania
Sprawdzasz czy hasło, którego używasz od lat, jest w którymś z publicznych wycieków. Audytujesz hasła firmowe przed zmianą polityki bezpieczeństwa. Weryfikujesz hasło wygenerowane gdzieś indziej. Sprawdzasz czy stare hasło z menedżera haseł nadal jest bezpieczne, czy może już dawno przestało.
Najczęstsze pytania
Tak. SHA-1 hashing odbywa się lokalnie przez Web Crypto API (crypto.subtle.digest). Do API HaveIBeenPwned wysyłamy tylko 5 pierwszych znaków heksadecymalnego skrótu. API zwraca ~800 wszystkich skrótów zaczynających się od tego prefiksu, a porównanie z Twoim hashem wykonuje się u Ciebie. Otwórz DevTools Network - zobaczysz tylko request typu /range/A1B2C, gdzie A1B2C to publiczny prefiks hashu.