Wurde Ihr Passwort in einem Datenleck veröffentlicht? Prüfen Sie es sicher gegen über 800 Mio. geleakte Passwörter – ohne dass Ihr Passwort den Browser verlässt.
k-Anonymity: nur die ersten 5 Hash-Zeichen werden gesendet, nicht das Passwort
Ihr Passwort wird im Browser per SHA-1 gehasht. Nur die ersten 5 Hex-Zeichen des Hashes werden an die HIBP-API geschickt – das ist die k-Anonymity-Methode. HIBP liefert alle Hashes mit diesem Präfix zurück (typisch ein paar hundert), und der Vergleich passiert wieder lokal in Ihrem Browser.
Have I Been Pwned (von Sicherheitsforscher Troy Hunt) sammelt Passwörter aus öffentlichen Datenlecks – über 800 Mio. einzigartige Passwörter sind dort indexiert. Wenn Ihr Passwort dort auftaucht, steht es in einer Liste, die Angreifer für Credential-Stuffing nutzen.
Wichtig: Ein „nicht gefunden“ heißt nur, dass das Passwort nicht in einem bekannten Leak steht – nicht, dass es stark oder unknackbar ist. Stärke prüfen Sie über den Passwort-Generator.
Das Passwort verlässt nie Ihren Browser. Nur ein 5-Zeichen-Hash-Präfix wird übertragen. Datenschutz
Passwörter sind nur der Anfang
Vom Passwort-Manager-Rollout bis zur Zwei-Faktor-Strategie – ich helfe bei der Umsetzung sicherer Arbeitsabläufe, damit kompromittierte Passwörter erst gar kein Problem werden.