查明某个密码是否出现在已知的数据泄露中。得益于 k-匿名(k-anonymity),您的密码乃至其完整哈希绝不会离开您的浏览器——仅分享一个 5 字符的片段。
它如何保持私密:您的浏览器在本地计算 SHA-1 哈希,仅将其前 5 个字符发送到我们的服务器,再由服务器转发给泄露数据库。数据库返回数千个可能的匹配项,比对在您的浏览器中完成——您真正的密码及其完整哈希绝不会离开您的设备。
本工具采用由 Have I Been Pwned 推广的 k-匿名(k-anonymity)模型。您的浏览器用 SHA-1 对密码进行哈希,将完整哈希保留在本地,仅发送前五个字符。泄露服务会返回共享这五个字符的所有哈希后缀——往往数以百计或千计——您的浏览器则在本地检查其中是否包含您的哈希。网络上没有人能知道您实际检查的是哪个密码。
这种设计意味着您无需完全信任任何人:完整的密码和哈希都留在您的设备上,只有一个与无数其他密码共享的片段会被传输。尽管如此,作为习惯,仍建议优先检查您准备弃用的密码;如果某个密码显示为已泄露,请立即在所有地方替换它。