Tout reste dans votre navigateur. Aucun mot de passe n'est transmis. Le calcul est entièrement local. La seule requête externe est une vérification anonyme de fuite (5 premiers caractères du hash SHA-1, jamais le mot de passe).

Vérification HIBP — Comprendre la k-anonymité

Time2Crack utilise l'API Have I Been Pwned (HIBP) pour vérifier si votre mot de passe a été compromis dans une fuite de données. Pour protéger votre confidentialité, nous n'envoyons jamais votre mot de passe complet. À la place, nous utilisons une technique appelée k-anonymité : seuls les 5 premiers caractères du hash SHA-1 du mot de passe sont envoyés.

SECTION EXPLICATIVE

✅ Ce que vous pouvez voir

Votre mot de passe reste toujours dans votre navigateur. Rien n'est envoyé au serveur.

Seul le hash SHA-1 de votre mot de passe est calculé localement (en JavaScript).

Ensuite, only les 5 premiers caractères de ce hash sont envoyés à HIBP.

🔒 Ce que HIBP ne peut pas voir

HIBP ne voit pas votre mot de passe complet.

HIBP ne voit pas le hash SHA-1 complet.

HIBP reçoit uniquement 5 caractères et retourne tous les hashes correspondant à ce préfixe (k-anonymité).

💡 Qu'est-ce que la k-anonymité ?

La k-anonymité est une technique de confidentialité qui rend un enregistrement indiscernable parmi k enregistrements. Dans ce cas, lorsque vous envoyez 5 caractères d'un hash SHA-1, HIBP retourne tous les hashes commençant par ces 5 caractères (généralement 400-500 résultats). Votre vrai hash est caché parmi tous les autres. Même HIBP ne sait pas quel hash est le vôtre.

DÉMONSTRATION INTERACTIVE

🔬 Démonstration Interactive

Entrez un mot de passe ci-dessous et voyez exactement ce qui est envoyé à HIBP.

ÉTAPE 1: MOT DE PASSE
1

Mot de passe (dans votre navigateur)

Votre mot de passe reste toujours local, jamais envoyé.

ÉTAPE 2: SHA-1 COMPLET
2

Hash SHA-1 complet (calculé localement)

Le hash SHA-1 est calculé dans votre navigateur en JavaScript. HIBP ne le voit jamais en complet.

ÉTAPE 3: 5 PREMIERS CARACTÈRES
3

Préfixe SHA-1 (5 premiers caractères)

Seuls ces 5 caractères sont envoyés à HIBP via HTTPS sécurisé.

ÉTAPE 4: RÉPONSE HIBP
4

Réponse de HIBP (tous les hashes correspondants)

HIBP retourne tous les hashes commençant par ce préfixe. Votre hash vrai est caché parmi eux.

✅ Résultats reçus de HIBP
⚠️ Important

Même si le préfixe "55D97" correspond au mot de passe "password123", HIBP ne sait pas quel hash spécifique vous recherchez. Vous seul savez lequel est le vôtre.

FLUX DÉTAILLÉ

Comment Time2Crack utilise HIBP

1

Vous tapez un mot de passe

Votre mot de passe reste dans votre navigateur. Rien n'est envoyé nulle part.

2

Time2Crack calcule le SHA-1

En JavaScript, nous calculons le hash SHA-1 du mot de passe. C'est du calcul local, aucune transmission.

3

Envoi du préfixe à HIBP

Seuls les 5 premiers caractères du hash sont envoyés à HIBP via une requête HTTPS chiffrée.

4

HIBP retourne tous les résultats

HIBP retourne tous les hashes (généralement 400-500) commençant par ce préfixe.

5

Vérification locale

Time2Crack compare votre hash complet à tous les résultats HIBP dans votre navigateur. Si trouvé, le mot de passe est compromis.

FAQ

Questions Fréquentes

RESSOURCES

📚 Ressources

Have I Been Pwned (HIBP): haveibeenpwned.com — Base de données de mots de passe compromis.

HIBP API Documentation: haveibeenpwned.com/API/v3 — Documentation technique de l'API k-anonymité.

k-anonymité: Wikipedia — k-anonymity — Concept de confidentialité des données.

Sécurité des mots de passe: OWASP Password Storage Cheat Sheet — Bonnes pratiques de stockage.