Tutto rimane nel tuo browser. Il calcolo è interamente locale. L'unica richiesta esterna è un controllo di perdita anonimo (5 primi caratteri hash SHA-1, mai password).

Verifica HIBP — Comprensione dell'anonimato

Time2Crack utilizza API Sono stato pestato (HIBP) per verificare se la password è stata compromessa in una perdita di dati. noi non inviamo Mai la tua password completa. Invece, usiamo una tecnica chiamata k-anonimato Vengono inviati solo i primi 5 caratteri dell'hash SHA-1 della password.

SEZIONE ESTERNA

Cosa puoi vedere

La tua password rimane sempre nel tuo browserNulla viene inviato al server.

Solo hash SHA-1 della tua password è calcolato localmente (in JavaScript).

Allora solo Primi 5 caratteri di questo hash sono inviati a HIBP.

Che HIBP non vede

HIBP non vede non la tua password completa.

HIBP non vede non l'hash SHA-1 completo.

HiBP riceve solo 5 caratteri e restituisce Tutti gli hash corrispondente a questo prefisso (k-anonimato).

Cos'è l'anonimato?

k-anonymity è una tecnica di riservatezza che rende un record inaccettabile tra k record. In questo caso, quando si inviano 5 caratteri di un hash SHA-1, HIBP restituisce tutti gli hash a partire da questi 5 caratteri (solitamente 400-500 risultati). Il tuo vero hash è nascosto tra tutti gli altri. Anche HIBP non sa che hash è tuo.

DIMENSIONI INTERACTIVE

- dimostrazione interattiva

Inserire una password qui sotto e vedere esattamente cosa viene inviato a HiBP.

STEP 1: PASS MOT
1

Password (nel tuo browser)

La tua password soggiorno sempre localeMai mandato.

STEP 2: COMPLETA SHA-1
2

Hash SHA-1 completo (calcolato localmente)

L'hash SHA-1 è calcolato nel tuo browser HIBP non lo vede mai in pieno.

STEP 3: 5 PRIMO CARATTERISTICHE
3

Prefix SHA-1 (5 primi personaggi)

Solo questi 5 caratteri vengono inviati a HiBP tramite HTTPS sicuro.

STEP 4: HIBP RESPONSE
4

La risposta di HiBP (tutti gli hash)

HIBP torna Tutti gli hash Il tuo vero hash è nascosto tra loro.

Risultati ricevuti da HIBP
Importante

Anche se il prefisso "55D97" corrisponde alla password123, HIBP non sa non Sai solo chi è tuo.

DETTAGLIATO FLUX

Come Time2Crack utilizza HiBP

1

Digita una password

La tua password rimane nel tuo browser. Nulla viene inviato ovunque.

2

Time2Crack calcola SHA-1

In JavaScript, calcoliamo l'hash SHA-1 della password.

3

Invia il prefisso a HIBP

Solo i primi 5 caratteri dell'hash vengono inviati a HIBP tramite una richiesta HTTPS crittografata.

4

HIBP restituisce tutti i risultati

HIBP restituisce tutti i hash (di solito 400-500) a partire da questo prefisso.

5

Verifica locale

Time2Crack confronta il tuo hash completo con tutti i risultati HiBP nel tuo browser. Se trovato, la password è compromessa.

FAQ

Domande frequenti

RISORSE

Risorse

Sono stato pestato (HIBP): haveibeenpwned.com — database di password integrato.

Documentazione API DIBP: hannoibeenpwned.com/API/v3 — Documentazione tecnica dell'API k-anonimato.

k-anonimato: Wikipedia — k-anonimato — Concetto di riservatezza dei dati.

Sicurezza della password: OWASP Password Storage Cheat Sheet - Buone pratiche di stoccaggio.