Nunca é sábio você digitar uma senha em qualquer site na internet que não seja na página de autenticação do serviço a que ela se refere. Isso faz com que um serviço como o Pwned Passwords, que cataloga grandes vazamentos de bancos de dados e permite conferir se uma senha já foi atingida, um tanto quanto suspeito, mesmo criado por um pesquisador renomado e com boas intenções.

Sabendo disso, Troy Hunt anunciou nesta semana uma nova geração do Pwned Passwords, que foi prontamente abraçada pelo aplicativo de gerenciamento de senhas 1Password, que permite verificar se alguma senha já foi vazada sem que ela seja diretamente enviada para um servidor para comparação com o catálogo.

Segundo a AgileBits, que desenvolve o 1Password, o recurso pega a sua senha e cifra usando o algoritmo SHA-1; em seguida, os primeiros cinco caracteres da hash de 40 caracteres são enviados para o Pwned Password, que confere a informação com a sua lista de senhas cifradas procurando hashes que comecem com aqueles primeiro cinco caracteres e retorna a lista para o 1Password. Em seguida, o aplicativo pega essa lista e faz a comparação com a senha do usuário procurando a combinação.

O Pwned Password cataloga 500 milhões de senhas, mas encontrar uma combinação no banco de dados não significa necessariamente que suas senhas foram vazadas; uma outra pessoa pode estar usando a mesma palavra-chave que você, por exemplo. Mesmo assim, a AgileBits diz que, se notar alguma combinação, orientará seus usuários a trocar sua senha.

Por enquanto, o recurso funciona apenas para quem usa a versão do 1Password no navegador, por meio do site do serviço. Para ter acesso ao recurso, é necessário usar o código Shift+Ctrl+Alt+C para desbloquear a função. Depois disso, um botão de verificar uma senha aparecerá. A empresa também estuda incluir a função dentro do recurso Watchtower dentro dos aplicativos do serviço.