パスワードが既知のデータ侵害に登場したかどうかを調べます。k-匿名性(k-anonymity)のおかげで、パスワードもその完全なハッシュもブラウザから外に出ることはなく、共有されるのは5文字の断片だけです。
プライバシーが保たれる仕組み:ブラウザが SHA-1 ハッシュをローカルで計算し、その最初の5文字だけを当社のサーバーに送信し、サーバーがそれを侵害データベースに中継します。データベースは数千件の候補一致を返し、照合はブラウザ内で完了します — 実際のパスワードとその完全なハッシュがデバイスから外に出ることはありません。
このツールは、Have I Been Pwned によって広まった k-匿名性(k-anonymity)モデルを使用します。ブラウザはパスワードを SHA-1 でハッシュ化し、完全なハッシュは手元に保持したまま、最初の5文字だけを送信します。侵害サービスはその5文字を共有するすべてのハッシュ接尾辞を返し — 多くの場合、数百から数千件 — ブラウザはあなたのハッシュがその中にあるかどうかをローカルで確認します。ネットワーク上の誰も、あなたが実際にどのパスワードをチェックしたかを知ることはできません。
この設計により、誰かを完全に信頼する必要はありません。完全なパスワードとハッシュはデバイス上に留まり、無数の他のパスワードと共有される断片だけが送信されます。とはいえ習慣として、廃止するパスワードをチェックすることを優先し、いずれかのパスワードが漏洩と表示された場合は、直ちにあらゆる場所で置き換えてください。