Verificador de Vazamento de Senha
Um verificador de vazamento construído sobre a API k-anonymity do Have I Been Pwned — o mesmo protocolo por trás do 1Password Watchtower, Bitwarden Reports, Firefox Monitor e o aviso embutido de senhas comprometidas do Chrome. Sua senha tem o hash feito localmente, e apenas um prefixo de 5 caracteres desse hash é enviado ao HIBP. O servidor retorna ~500 hashes candidatos que compartilham esse prefixo e seu navegador faz o casamento — então sua senha real e o hash completo nunca saem do dispositivo. O HIBP indexa mais de 850 milhões de senhas únicas comprometidas em vazamentos como LinkedIn, Adobe, Collection #1 e centenas mais.
Como usar
Clique no campo e digite ou cole. A verificação roda no envio, não a cada tecla.
Seu navegador faz o hash da senha localmente e envia apenas os 5 primeiros caracteres do hash ao HIBP, que retorna ~500 candidatos para casar.
Ou "não encontrada" ou "vista N vezes". Se encontrada, troque a senha em todo lugar onde é reutilizada.
Use nosso gerador de senhas ou de passphrase para uma substituta única e forte.
Procure sua senha no banco de vazamentos do Have I Been Pwned via protocolo k-anonymity
Recursos
Perguntas frequentes
O que exatamente é enviado ao HIBP?
Apenas um prefixo de 5 caracteres do hash da sua senha — nada mais. Esse prefixo colide com cerca de 500 senhas diferentes, então o HIBP literalmente não consegue dizer qual você verificou. Sem cookies, sem conta.
O que é k-anonymity?
Um modelo de privacidade onde sua consulta é misturada com k outras consultas indistinguíveis. Enviar um prefixo de hash de 5 caracteres significa que sua busca é uma entre ~500 — o servidor não consegue identificar exclusivamente o que você procurou.
Por que usar uma função de hash conhecidamente quebrada?
O ataque relevante contra SHA-1 é encontrar colisões (forjar dois arquivos diferentes com o mesmo hash). O protocolo k-anonymity não depende disso — ele só precisa que a função distribua senhas uniformemente entre baldes de prefixo, o que SHA-1 faz bem. Mesmo motivo pelo qual HIBP, 1Password e Firefox Monitor ainda usam para esta consulta específica.
De onde vêm os dados de vazamento?
Do projeto Have I Been Pwned (haveibeenpwned.com) do Troy Hunt, o corpus de vazamentos padrão de fato. 850M+ senhas únicas comprometidas agregadas de 850+ vazamentos divulgados e listas curadas.
Minha senha não está no banco — é forte?
Não necessariamente. Só significa que ainda não apareceu num vazamento publicado. Uma senha curta ou previsível pode ser quebrada por força bruta em segundos. Passe pelo verificador de força também.
O que faço se vazou?
Pare de usá-la imediatamente. Bots de credential-stuffing testam toda senha vazada contra todo formulário de login que encontram — reutilização é o que entrega contas. Gere uma substituta única para cada site, mude para um gerenciador de senhas (Bitwarden, 1Password, KeePass) e ative 2FA onde possível.
Por que usar isto se meu gerenciador já audita vazamentos?
Para verificações pontuais — uma senha que você viu num post de vazamento, a pergunta "isto é seguro?" de um colega, ou uma senha que você ainda não colocou no gerenciador. Se você já usa 1Password Watchtower ou Bitwarden Reports para o cofre inteiro, não precisa disto para essas.
Podemos — e é grátis! Envie uma mensagem rápida com sua ideia. Se quiser discutir em detalhes, deixe seu email e entraremos em contato. Pode ser anônimo.
