Alles bleibt in Ihrem Browser. Kein Passwort wird übertragen. Die Berechnung ist ganz lokal. Die einzige externe Anfrage ist eine anonyme Leck-Check (5 erste Hash SHA-1 Zeichen, nie Passwort).

HIBP Verification — Verstehen k-Anonymität

Time2CrackVerwendung API Habe ich Pwned (HIBP) um zu überprüfen, ob Ihr Passwort in einem Datenleck beeinträchtigt wurde. wir senden nicht Nie Ihr volles Passwort. Stattdessen verwenden wir eine Technik namens k-Anonymität Nur die ersten 5 Zeichen des SHA-1 Hash des Passworts werden gesendet.

ABSCHNITT

Was Sie sehen können

Ihr Passwort bleibt immer in Ihrem BrowserNichts wird an den Server gesendet.

Nur hash SHA-1 Ihres Passworts wird lokal (in JavaScript) berechnet.

Dann nur die Erste 5 Zeichen dieser Hash werden an HIBP gesendet.

Was HIBP nicht sehen kann

HIBP sieht nicht nicht Ihr volles Passwort.

HIBP sieht nicht nicht die Hash SHA-1 komplett.

HiBP erhält nur 5 Zeichen und Rückgaben Alle Hashs entsprechend diesem Präfix (k-Anonymität).

Was ist k-Anonymität?

k-anonymität ist eine Technik der Vertraulichkeit, die einen Datensatz unter k-Datensätzen inakzeptabel macht. In diesem Fall gibt HIBP beim Senden von 5 Zeichen einer SHA-1 Hash alle Hashs ab diesen 5 Zeichen zurück (in der Regel 400-500 Ergebnisse). Ihr echter Hash ist unter allen anderen verborgen. Selbst HIBP weiß nicht, was Hash ist Ihr.

INTERAKTIVE DEMONSTRIERUNG

- Interaktive Demonstration

Geben Sie unten ein Passwort ein und sehen Sie genau das, was an HiBP gesendet wird.

Schritt 1: PASS MOT
1

Passwort (in Ihrem Browser)

Ihr Passwort immer bleibenNie gesendet.

SCHRITT 2: COMPLETE SHA-1
2.

Komplett Hash SHA-1 (vor Ort berechnet)

Der Hash SHA-1 wird berechnet in Ihrem Browser in JavaScript. HIBP sieht es nie vollständig.

Schritt 3: 5 FIRST-KARACTERISTIK
3

Präfix SHA-1 (5 erste Zeichen)

Nur Diese 5 Zeichen werden über sichere HTTPS an HiBP gesendet.

Schritt 4: HIBP RESPONSE
ANHANG

Antwort von HiBP (alle Hashs)

HIBP gibt Alle Hashs Dein wahrer Hash ist unter ihnen verborgen.

Ergebnisse von HIBP
Wichtig

Auch wenn das Präfix "55D97" mit dem Passwort123 übereinstimmt, weiß HIBP nicht nicht Du weißt nur, wer du bist.

DETAILED FLUX

WieTime2Crackverwendet HIBP

1

Sie geben ein Passwort ein

Ihr Passwort bleibt in Ihrem Browser. Nichts wird überall gesendet.

2.

Time2CrackSHA-1 berechnen

In JavaScript berechnen wir den SHA-1 Hash des Passworts. Dies ist die lokale Berechnung, keine Übertragung.

3

Präfix an HIBP senden

Nur die ersten 5 Zeichen der Hash werden über eine verschlüsselte HTTPS-Anforderung an HIBP gesendet.

ANHANG

HIBP liefert alle Ergebnisse

HIBP gibt alle Hashs (meist 400-500) ab diesem Präfix zurück.

5.

Lokale Verifizierung

Time2Crackvergleichen Sie Ihre komplette Hash auf alle HIBP-Ergebnisse in Ihrem Browser. Wenn gefunden, ist das Passwort kompromittiert.

FAQ

Häufig gestellte Fragen

ERGEBNISSE

Ressourcen

Habe ich Pwned (HIBP): mit einem Gehalt an — Kompromierte Passwortdatenbank.

DIBP API Dokumentation: habenibeenpwned.com/API/v3 — Technische Dokumentation der k-Anonymität API.

k-anonymität: Wikipedia — k-anonymity — Konzept der Datengeheimnis.

Passwort-Sicherheit: OWASP Passwortspeicher Cheat Sheet - Gute Lagerpraxis.