Finden Sie heraus, ob ein Passwort in bekannten Datenlecks aufgetaucht ist. Dank k-Anonymität verlassen Ihr Passwort und sogar sein vollständiger Hash Ihren Browser niemals — nur ein Fragment aus 5 Zeichen wird geteilt.
So bleibt dies privat: Ihr Browser berechnet den SHA-1-Hash lokal und sendet nur dessen erste 5 Zeichen an unseren Server, der sie an die Leck-Datenbank weiterleitet. Die Datenbank liefert Tausende möglicher Treffer zurück, und der Abgleich wird in Ihrem Browser abgeschlossen — Ihr tatsächliches Passwort und sein vollständiger Hash verlassen Ihr Gerät niemals.
Dieses Werkzeug nutzt das durch Have I Been Pwned bekannt gewordene k-Anonymitätsmodell. Ihr Browser hasht das Passwort mit SHA-1, behält den vollständigen Hash für sich und sendet nur die ersten fünf Zeichen. Der Leck-Dienst gibt jedes Hash-Suffix zurück, das diese fünf Zeichen teilt — oft Hunderte oder Tausende — und Ihr Browser prüft lokal, ob Ihres darunter ist. Niemand im Netzwerk kann erkennen, welches Passwort Sie tatsächlich geprüft haben.
Das Design bedeutet, dass Sie niemandem vollständig vertrauen müssen: Das vollständige Passwort und der Hash bleiben auf Ihrem Gerät, und nur ein Fragment, das unzählige andere Passwörter teilen, wird jemals übertragen. Ziehen Sie dennoch aus Gewohnheit vor, Passwörter zu prüfen, die Sie ausmustern, und wenn ein Passwort als geleakt erscheint, ersetzen Sie es sofort überall.