Проверить пароль на утечку полезно в двух случаях: если вы давно пользуетесь одной и той же комбинацией или если не уверены, не всплывала ли она в старых базах данных. Даже относительно сложный пароль может оказаться скомпрометированным, если его уже использовали миллионы людей до вас.
Для быстрой практической проверки используйте страницу проверки пароля на утечку. Она считает SHA-1 локально в браузере, не сохраняет пароль в localStorage и не отправляет его на сервер в открытом виде.
Что значит «пароль найден в утечках»
Это означает, что такой пароль уже встречался в публичных или полу-публичных слитых базах. Причина не всегда в том, что взломали именно ваш аккаунт. Иногда пароль просто слишком типовой: 123456, qwerty, password123 и похожие комбинации повторяются в утечках снова и снова.
Если пароль найден даже несколько раз, это уже плохой сигнал. Если он найден десятки, сотни или миллионы раз, использовать его повторно нельзя вообще.
Какие сервисы чаще всего всплывают в старых утечках
Обычный пользователь редко знает, откуда именно мог утечь пароль. На практике это могут быть старые форумы, интернет-магазины, маркетплейсы, игровые сайты, сервисы доставки, небольшие CRM и другие площадки, где вы когда-то регистрировались много лет назад.
Проблема не в конкретном бренде, а в самом повторном использовании. Один и тот же пароль мог жить на почте, в кабинете магазина, на форуме и в облачном сервисе. Поэтому даже старая утечка с малоизвестного сайта может создать риск для ваших нынешних аккаунтов.
Безопасно ли вводить пароль в такую проверку
Безопасный сценарий выглядит так:
- пароль хешируется локально в браузере;
- во внешний сервис уходит только короткий префикс хеша;
- полное совпадение считается уже на стороне пользователя;
- сам пароль не отправляется в открытом виде.
Именно по этой модели работает Have I Been Pwned Passwords API. Такой подход называют k-anonymity: внешний источник видит только небольшую часть хеша, но не может восстановить исходный пароль по одному запросу. Если нужно понять, что это за сервис и почему он вообще считается индустриальным ориентиром, отдельно смотрите разбор Have I Been Pwned: что это такое.
Что делать после проверки
Если пароль найден
- не использовать его повторно нигде;
- сразу заменить пароль на новый и уникальный;
- отдельно поменять его на почте, в банке, в облаке и в менеджере паролей, если он там был тем же самым;
- включить двухфакторную аутентификацию там, где это возможно.
Если пароль не найден
Это хороший знак, но не абсолютная гарантия. Пароль всё равно может быть слабым, коротким, предсказуемым или использоваться на нескольких сайтах. Поэтому после проверки полезно оценить и общую надёжность комбинации — например, посмотреть его энтропию в битах.
Если нужен новый вариант, перейдите в генератор паролей. Он помогает быстро собрать длинный уникальный пароль без бытовых шаблонов и повторов.
Почему нельзя использовать один пароль везде
Повторное использование пароля — самая частая причина каскадных взломов. Один старый форум, маркетплейс или сервис доставки мог утечь много лет назад, а потом злоумышленники проверяют те же логин и пароль уже на почте, мессенджерах и банковских кабинетах.
Даже если ваш текущий сайт ещё не взломан, старый пароль из другой базы уже создаёт риск. Поэтому модель «проверил -> заменил -> больше не повторяю» работает лучше, чем попытки угадать, насколько пароль ещё живой.
Проверка пароля и проверка email на утечку — не одно и то же
У этих двух сценариев разный интент:
- проверка пароля на утечку отвечает на вопрос, встречалась ли именно комбинация символов в слитых базах;
- проверка email на утечку отвечает на вопрос, фигурировал ли ваш адрес почты в известных инцидентах и базах пользователей.
Поэтому одна проверка не заменяет другую. Если вы проверили пароль и не нашли совпадений, это ещё не означает, что email никогда не всплывал в утечках. И наоборот: найденный email не всегда означает, что конкретный пароль уже известен злоумышленникам. Если вам нужен именно сценарий по адресу почты, отдельно смотрите материал как проверить email на утечку.
Как часто стоит проверять пароли
Универсального графика нет, но есть ориентиры:
- после крупных публичных утечек — если в новостях прошла информация о взломе сервиса, которым вы пользуетесь, проверьте пароль сразу;
- раз в полгода — для критически важных аккаунтов: почта, банк, облако, мессенджеры;
- при любом подозрении — странные уведомления о входе, неожиданные письма о сбросе пароля, подозрительная активность.
Если вы используете менеджер паролей с уникальными комбинациями для каждого сервиса, проверять можно реже. Но даже в этом случае периодическая проверка не повредит. Подробнее о том, когда менять пароли, а когда не стоит, читайте в статье как часто нужно менять пароли.
Частые вопросы
Безопасно ли вводить свой пароль в проверку?
Да, если проверка работает по модели k-anonymity: пароль хешируется локально в браузере, и наружу уходит только короткий префикс хеша. Полное совпадение проверяется уже на вашем устройстве. Сам пароль никуда не отправляется в открытом виде.
Что делать, если пароль найден в утечках?
Немедленно заменить его на новый уникальный пароль на всех сервисах, где он использовался. Начните с почты, банка и облачных хранилищ. Включите двухфакторную аутентификацию там, где это возможно.
Чем проверка пароля отличается от проверки email?
Проверка пароля отвечает на вопрос, встречалась ли именно эта комбинация символов в слитых базах. Проверка email показывает, фигурировал ли адрес почты в известных инцидентах. Одна проверка не заменяет другую.
Как часто нужно проверять пароли на утечку?
Проверяйте после каждой крупной публичной утечки и не реже раза в полгода для критически важных аккаунтов: почта, банк, облако, мессенджеры. Если пользуетесь менеджером паролей с уникальными комбинациями, достаточно проверять реже.
Что лучше: проверка пароля или генерация нового
Эти два сценария не конкурируют друг с другом:
- проверка пароля на утечку нужна, когда у вас уже есть конкретная комбинация и вы хотите понять, не засвечена ли она;
- генератор паролей нужен, когда старый пароль уже не устраивает и нужно сделать новый безопасный вариант.
Лучший путь обычно такой: сначала проверить пароль на утечку, а если есть риск или сомнение — сразу сгенерировать новый пароль.
Следующий шаг
Сделать следующий шаг
Если пароль вызывает сомнения, не останавливайтесь на проверке: переходите к замене и короткому гайду по новым правилам.