Have I Been Pwned
Have I Been Pwned es un sitio web que recopila contraseñas filtradas, asociadas a un correo. Luego, los usuarios pueden ingresar su correo, y el sitio responde si se ha encontrado contraseñas para ese correo, y de dónde salieron. Esto puede ser particularmente importante, pues la gran mayoría de las personas reutilizan sus contraseñas en muchos lugares diferentes, de vez en cuando con alguna variación mínima.
El sitio también permite buscar de manera segura si una contraseña particular ha sido filtrada en algún momento. Esto funciona calculando el Hash de la contraseña de manera local, y luego enviando una parte de este Hash al servidor. El servidor responde con todos los hashes que coinciden con el valor enviado, los cuales son comparados localmente con el Hash completo de la contraseña. De esta forma, en ningún momento se envía la contraseña (ni su Hash completo) al servidor, dejando que el cliente haga las comparaciones localmente.
Nota: Que un correo aparezca comprometido no significa que actualmente lo esté. Quiere decir que en algún momento alguna contraseña asociada a ese correo se filtró.
Ejemplo
Queremos verificar si un correo ha sido comprometido, por lo que ingresamos a Have I Been Pwned y hacemos la búsqueda.
Si no se encuentra breaches relacionados, el sitio nos lo indica en verde.
En cambio, si efectivamente ha habido filtraciones de contraseñas asociadas al correo, se mostrará en rojo.
Más abajo podemos revisar específicamente dónde y cuándo se produjo la filtración. Esto nos ayuda a determinar si la contraseña filtrada fue una antigua o actual, y nos muestra específicamente qué datos fueron comprometidos.
Editar en GitHub Modificado por última vez el 16/06/2023 a las 12:44:00 hrs.