Découvrez si un mot de passe est apparu dans des fuites de données connues. Grâce à la k-anonymat, votre mot de passe et même son empreinte complète ne quittent jamais votre navigateur — seul un fragment de 5 caractères est partagé.
Comment cela reste privé : votre navigateur calcule l'empreinte SHA-1 localement et n'envoie que ses 5 premiers caractères à notre serveur, qui les relaie à la base de données des fuites. La base renvoie des milliers de correspondances possibles et la comparaison s'achève dans votre navigateur — votre mot de passe réel et son empreinte complète ne quittent jamais votre appareil.
Cet outil utilise le modèle de k-anonymat popularisé par Have I Been Pwned. Votre navigateur hache le mot de passe avec SHA-1, garde l'empreinte complète pour lui et n'envoie que les cinq premiers caractères. Le service de fuites renvoie tous les suffixes d'empreinte qui partagent ces cinq caractères — souvent des centaines ou des milliers — et votre navigateur vérifie localement si le vôtre en fait partie. Personne sur le réseau ne peut savoir quel mot de passe vous avez réellement vérifié.
La conception fait que vous n'avez pas à faire entièrement confiance à qui que ce soit : le mot de passe et l'empreinte complets restent sur votre appareil, et seul un fragment partagé par d'innombrables autres mots de passe est transmis. Néanmoins, par habitude, préférez vérifier des mots de passe que vous mettez au rebut, et si un mot de passe apparaît comme compromis, remplacez-le partout immédiatement.