Comprovació d'exposició de contrasenya

Una contrasenya està exposada quan ha estat compromesa en alguna filtració de dades (data breach) i forma part de bases de dades públiques que poden ser utilitzades per ciberdelinqüents.

Com pot passar?

  • Atacs a empreses: Hackers accedeixen a les bases de dades de webs, xarxes socials, botigues en línia, etc.
  • Filtracions massives: Empreses com Yahoo, LinkedIn, Adobe i moltes altres han patit bretxes de seguretat.
  • Bases de dades venudes: Aquestes contrasenyes es venen a la dark web o es publiquen de forma oberta.

Per què és perillós?

  • Atacs de diccionari: Els hackers proven aquestes claus conegudes en diferents serveis.
  • Reutilització de contrasenyes: Si utilitzes la mateixa contrasenya en diversos llocs, tots es poden veure compromesos.
  • Enginyeria social: Poden usar la teva informació per fer atacs més sofisticats.

Estat de la contrasenya:
Com funciona aquesta verificació de forma segura?

La teva contrasenya mai s'envia completa per Internet. El procés és totalment segur:

  1. Xifrat local: La teva contrasenya es converteix en un codi SHA-1 (hash) al teu dispositiu.
  2. Consulta parcial: Només s’envien els 5 primers caràcters del hash a l'API de HaveIBeenPwned.
  3. Verificació local: L’API retorna milers de coincidències parcials, i el dispositiu comprova si el hash complet hi és.
Aquest mètode, anomenat “k-Anonymity”, garanteix que la teva contrasenya real mai abandona el dispositiu, i que ni tan sols nosaltres la podem conèixer.