Verificar se senha foi vazada

Descubra se a sua combinação de caracteres já apareceu em vazamentos de dados públicos conhecidos. Usamos o método k-anonymity da API Pwned Passwords (Troy Hunt): o seu browser calcula o hash SHA-1 da senha e só envia os primeiros 5 caracteres hexadecimais para o servidor. A senha em texto claro nunca sai do seu dispositivo nem é enviada ao Pugno Tools.

Como funciona

1. O JavaScript calcula o SHA-1 da senha no seu computador ou telemóvel.
2. São enviados apenas 5 caracteres desse hash à API pública api.pwnedpasswords.com (prefixo).
3. O serviço devolve uma lista de sufixos de hashes que coincidem com esse prefixo; o browser compara o restante do seu hash localmente.
4. Se houver correspondência, a senha (como sequência de caracteres) já foi vista em bases vazadas — quanto maior o número, mais vezes apareceu agregado.

Minha senha está segura?

Hash é uma “impressão digital” unidirecional: a partir do hash não se recupera a senha, mas duas pessoas com a mesma senha geram o mesmo hash. Por isso o serviço consegue dizer “esta senha já vazou” sem nunca receber a senha literal. Mesmo com resultado “limpo”, use senhas longas e únicas por site, de preferência com um gestor de passwords. Combine com o nosso gerador de senha segura.