Czy wpisanie hasła w to narzędzie jest bezpieczne?

Tak. Hasło nie opuszcza Twojej przeglądarki. Skrót SHA-1 liczony jest lokalnie, a do bazy wycieków trafia tylko jego pierwszych 5 znaków (model k-anonimowości). Serwer nigdy nie pozna Twojego hasła ani pełnego skrótu.

Skąd narzędzie wie, czy hasło wyciekło?

Korzysta z bazy Have I Been Pwned, agregującej ponad 10 miliardów haseł z publicznych wycieków danych. Porównanie odbywa się po stronie Twojej przeglądarki.

Moje hasło „nie zostało znalezione” - czyli jest bezpieczne?

Niekoniecznie. To znaczy tylko, że nie ma go w znanych wyciekach. Hasło może być słabe i łatwe do odgadnięcia mimo to. O odporności decyduje entropia, którą narzędzie pokazuje obok wyniku.

Co zrobić, gdy hasło wyciekło?

Zmień je natychmiast wszędzie, gdzie go używasz, ustaw nowe losowe hasło (najlepiej z generatora), nie powtarzaj haseł między serwisami i włącz uwierzytelnianie dwuskładnikowe.

Dlaczego używany jest SHA-1, skoro jest przestarzały?

SHA-1 nie jest tu wyborem bezpieczeństwa, tylko formatem indeksu bazy Have I Been Pwned. Służy wyłącznie do dopasowania skrótów, nie do ochrony hasła.

Czy Twoje hasło wyciekło? Sprawdź to bezpiecznie - bez zdradzania go komukolwiek

Najsłabszym ogniwem bezpieczeństwa rzadko jest szyfrowanie czy firewall. Zwykle jest nim hasło, które już dawno wyciekło - a Ty wciąż go używasz, często w kilku miejscach naraz. Miliardy par login-hasło krążą po sieci w gotowych paczkach, a atakujący nie „łamią" już haseł: po prostu wpisują te, które ktoś kiedyś zgubił. To technika zwana credential stuffing i jest tania, szybka i skuteczna.

Dobra wiadomość: możesz w kilka sekund sprawdzić, czy konkretne hasło znajduje się w znanych wyciekach - i zrobić to bez wysyłania hasła komukolwiek. Pokażemy jak, i dlaczego sposób ma tu ogromne znaczenie.

Co właściwie znaczy „hasło wyciekło"?

Gdy dowolny serwis zostaje zhakowany, baza jego użytkowników - adresy e-mail i hasła - często trafia do internetu. Takie zbiory są agregowane w gigantyczne listy (setki milionów, a nawet miliardy rekordów). Jeśli Twoje hasło jest na którejś z nich, to nieważne jak „sprytne" Ci się wydaje - dla atakującego jest jawne i gotowe do użycia.

Kluczowy niuans: liczy się samo hasło, nie to, gdzie wyciekło. Jeśli Lato2023! wyciekło z jakiegoś forum, to jest spalone wszędzie, gdzie go używasz - w banku, poczcie, panelu firmowym.

Dlaczego nie wolno wpisywać hasła w pierwszy lepszy formularz

W sieci jest pełno stron „sprawdź swoje hasło". Część z nich to wprost pułapki zbierające hasła. Zasada jest prosta:

Nigdy nie wpisuj prawdziwego hasła w narzędzie, które wysyła je na serwer. Bezpieczne sprawdzenie nie wymaga, by Twoje hasło opuściło przeglądarkę.

I tu wchodzi elegancki mechanizm, który pozwala sprawdzić wyciek, nie zdradzając hasła nikomu - nawet usłudze, która trzyma bazę wycieków.

Jak sprawdzić bezpiecznie - k-anonimowość krok po kroku

Wykorzystujemy bazę Have I Been Pwned (ponad 10 mld skompromitowanych haseł) w modelu k-anonimowości. Wygląda to tak:

Przeglądarka liczy lokalnie skrót SHA-1 Twojego hasła (hasło nie rusza się z Twojego komputera).
Do API wysyłane jest tylko pierwszych 5 znaków tego skrótu - jeden z około miliona „kubełków".
Serwer odsyła listę końcówek skrótów z tego kubełka wraz z liczbą wystąpień.
Przeglądarka u Ciebie sprawdza, czy pełny skrót Twojego hasła jest na tej liście.

Efekt: usługa wycieków nigdy nie widzi ani Twojego hasła, ani nawet jego pełnego skrótu - dostaje 5 znaków pasujących do setek tysięcy różnych haseł. Dodatkowo nasze zapytanie używa paddingu, który maskuje rozmiar odpowiedzi, utrudniając jakiekolwiek wnioskowanie. To ten sam standard, którego używają menedżery haseł i przeglądarki.

Sprawdź swoje hasło teraz

Przygotowaliśmy do tego darmowe narzędzie, które działa w całości w Twojej przeglądarce:

👉 Czy moje hasło wyciekło - sprawdź bezpiecznie

Po wpisaniu hasła zobaczysz dwie rzeczy naraz: czy hasło jest w wyciekach (i ile razy zostało odnotowane) oraz jego siłę wyrażoną w bitach entropii. To dwie niezależne informacje - i obie są ważne, o czym za chwilę.

Hasło wyciekło - i co teraz?

Bez paniki, ale i bez zwłoki. Plan działania:

Zmień je natychmiast wszędzie, gdzie go używasz - zaczynając od poczty i banku.
Nigdy nie używaj jednego hasła w wielu miejscach. Jeden wyciek nie może otwierać wszystkich drzwi.
Ustaw nowe, losowe hasło zamiast „poprawiać" stare (Lato2023! → Lato2024! to żadna ochrona). Skorzystaj z naszego generatora silnych haseł.
Włącz uwierzytelnianie dwuskładnikowe (2FA/MFA) tam, gdzie się da - najlepiej w oparciu o klucze sprzętowe.

„Nie znaleziono" nie znaczy „bezpieczne"

To najważniejsze zastrzeżenie. Wynik „nie ma w wyciekach" mówi tylko tyle, że hasła jeszcze nie ma w znanych bazach. Hasło typu Kaśka1978 może nie figurować w żadnym wycieku, a i tak zostanie odgadnięte w kilka sekund, bo jest przewidywalne.

O realnej odporności decyduje entropia - liczba bitów losowości. Im wyższa, tym więcej kombinacji musiałby przejść atakujący. Dlatego nasze narzędzie pokazuje ją obok wyniku wycieku. Jeśli chcesz zrozumieć, dlaczego 12 losowych znaków bije 30-znakowe „zdanie ze słownika", przeczytaj nasz wpis: Entropia hasła - co oznaczają bity bezpieczeństwa. A o tym, dlaczego generator to dziś absolutna podstawa, piszemy tutaj.

Dla firm: to nie jest problem „pojedynczego konta"

W organizacji jedno wyciekłe, współdzielone hasło to potencjalne wejście do całej sieci. Polityka haseł, wymuszone 2FA, menedżer haseł dla zespołu i regularny przegląd kont to elementy, które realnie obniżają ryzyko włamania. Jeśli chcesz sprawdzić, jak wygląda to u Ciebie, porozmawiajmy o audycie bezpieczeństwa - pokażemy konkretne luki, zanim znajdzie je ktoś inny.