Vérificateur de Fuite de Mot de Passe
Un vérificateur de fuite construit sur l'API k-anonymity de Have I Been Pwned — le même protocole derrière 1Password Watchtower, Bitwarden Reports, Firefox Monitor et l'avertissement intégré « mot de passe compromis » de Chrome. Votre mot de passe est haché localement, et seul un préfixe de 5 caractères de ce hash est envoyé à HIBP. Le serveur renvoie ~500 hashes candidats qui partagent ce préfixe et votre navigateur fait la correspondance — donc votre mot de passe réel et le hash complet ne quittent jamais l'appareil. HIBP indexe 850M+ mots de passe compromis uniques à travers des fuites comme LinkedIn, Adobe, Collection #1 et des centaines d'autres.
Comment l'utiliser
Cliquez sur le champ et tapez ou collez. La vérification s'exécute à la validation, pas à chaque frappe.
Votre navigateur hache le mot de passe localement et n'envoie que les 5 premiers caractères du hash à HIBP, qui renvoie ~500 candidats à comparer.
Soit « non trouvé », soit « vu N fois ». Si trouvé, changez le mot de passe partout où il est réutilisé.
Utilisez notre générateur de mot de passe ou de phrase de passe pour un remplacement unique et fort.
Recherchez votre mot de passe dans la base de fuites Have I Been Pwned via le protocole k-anonymity
Fonctionnalités
Questions fréquentes
Qu'est-ce qui est exactement envoyé à HIBP ?
Juste un préfixe de 5 caractères du hash de votre mot de passe — rien d'autre. Ce préfixe entre en collision avec environ 500 mots de passe différents, donc HIBP ne peut littéralement pas dire lequel vous avez vérifié. Pas de cookies, pas de compte.
Qu'est-ce que k-anonymity ?
Un modèle de confidentialité où votre requête est mélangée à k autres requêtes indistinguables. Envoyer un préfixe de hash de 5 caractères signifie que votre recherche est une parmi ~500 — le serveur ne peut pas identifier de manière unique ce que vous avez cherché.
Pourquoi utiliser une fonction de hash connue pour être cassée ?
L'attaque pertinente contre SHA-1 est la recherche de collision (forger deux fichiers différents avec le même hash). Le protocole k-anonymity n'en dépend pas — il a juste besoin que la fonction répartisse les mots de passe uniformément entre les buckets de préfixe, ce que SHA-1 fait bien. Pour la même raison, HIBP, 1Password et Firefox Monitor l'utilisent tous toujours pour cette recherche spécifique.
D'où viennent les données de fuite ?
Le projet Have I Been Pwned de Troy Hunt (haveibeenpwned.com), le corpus de fuites standard de facto. 850M+ mots de passe compromis uniques agrégés depuis 850+ fuites divulguées et listes curatées.
Mon mot de passe n'est pas dans la base — est-il fort ?
Pas nécessairement. Cela veut juste dire qu'il n'est pas encore apparu dans une fuite publiée. Un mot de passe court ou prévisible peut quand même être cassé en quelques secondes par force brute. Testez-le aussi avec le vérificateur de force.
Que dois-je faire s'il est fuité ?
Cessez immédiatement de l'utiliser. Les bots de credential-stuffing essaient chaque mot de passe fuité contre chaque formulaire de connexion qu'ils peuvent trouver — la réutilisation, c'est ce qui fait prendre le contrôle des comptes. Générez un remplacement unique pour chaque site, passez à un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass), et activez la 2FA partout où c'est possible.
Pourquoi utiliser ceci si mon gestionnaire de mots de passe audite déjà les fuites ?
Pour des vérifications ponctuelles — un mot de passe vu dans un post de fuite, une question « est-ce sûr ? » d'un collègue, ou un mot de passe que vous n'avez pas encore mis dans un gestionnaire. Si vous utilisez déjà 1Password Watchtower ou Bitwarden Reports pour tout votre coffre, vous n'en avez pas besoin pour ceux-là.
Nous le pouvons — et c'est gratuit ! Envoyez-nous simplement un message rapide avec votre idée. Si vous voulez en discuter en détail, laissez votre e-mail et nous reviendrons vers vous. Vous pouvez rester anonyme.
