Аудит паролей проверяет, засветился ли ваш пароль в известных утечках (864 миллиона записей в базе HaveIBeenPwned на 2026 год) и насколько быстро его переберут. Проверка идёт по k-anonymity: мы отправляем только первые 5 символов SHA-1 пароля, поэтому сам пароль никогда не покидает устройство.
Инструмент считает энтропию в битах по Shannon и оценку zxcvbn от Dropbox, которая знает 30 000 самых распространённых паролей и понимает паттерны вроде «Qwerty123!» или «Ivan2024». Показывается время взлома на домашней GPU, на 10-GPU ферме и на облачном кластере — чтобы вы видели реальный риск, а не «пароль крепкий» из админки.
Для IT-отделов доступна пакетная проверка: загрузите список хешей (не паролей!) и получите отчёт, сколько сотрудников используют скомпрометированные креды. Типичная картина — 10–20% корпоративных паролей есть в утечках. Для обычных пользователей достаточно прогнать 5–10 самых важных: почта, банк, Госуслуги, менеджер паролей, Apple/Google ID.
Бесплатный виджет с бэклинком на ваш сайт
Загрузка…
Оценка основана на длине, разнообразии символов, энтропии и проверке по базе из 100 самых популярных паролей. Время взлома рассчитано при скорости 10 млрд попыток/сек.
Введите пароль в поле — он не покидает браузер.
Дождитесь результата: сила, энтропия и наличие в утечках.
Если пароль найден в утечке — срочно смените его на всех сервисах.
Используйте Генератор паролей, чтобы создать замену, и сохраните в менеджере.
864 млн хешей из HaveIBeenPwned — сразу видно, есть ли пароль в публичных дампах.
Сервер получает только первые 5 символов SHA-1 — пароль невозможно восстановить.
Две независимых оценки: математическая (бит) и эвристическая (словари, паттерны).
Расчёт для RTX 4090, 10-GPU фермы и AWS p4d — не абстрактное «сильный пароль».
Загрузите SHA-1 хеши списка паролей — получите CSV с отметкой утечек.
Для лучших результатов используйте современный браузер (Chrome, Firefox, Edge)
Все файлы обрабатываются локально в вашем браузере для максимальной безопасности
Сохраняйте результат сразу после обработки
Попробуйте разные настройки для оптимального результата
Да. Мы считаем SHA-1 в вашем браузере и отправляем в HaveIBeenPwned только первые 5 символов хеша — это называется k-anonymity. Сам пароль и его полный хеш никогда не уходят ни к нам, ни к HIBP.
Не обязательно, но риск очень высок: злоумышленники автоматически перебирают утёкшие пары «email + пароль» на всех сервисах (credential stuffing). Смените пароль везде, где он использовался, и включите 2FA.
Это логарифм количества возможных вариантов. 40 бит — около триллиона комбинаций, взломается за часы. 80 бит — время жизни Вселенной на современном железе. Для паролей сервисов нормально 60+, для мастер-паролей 80+.
Длина — не всё. zxcvbn узнаёт паттерны: «Qwerty12345!» — это 12 символов, но словарное слово + даты + предсказуемый символ. Реальная энтропия — около 20 бит, не 80. Генерируйте пароли случайно.
Для критичных аккаунтов (почта, банк, менеджер паролей) — раз в 6 месяцев и после каждой крупной новости о взломе. Для остальных — при ощутимой подозрительной активности. IT — ежеквартально по всей базе.
Взломана коллизионная стойкость SHA-1 (можно подобрать два разных входа с одинаковым хешем). Но для поиска «утекал ли пароль» достаточно совпадения — это задача без атаки на коллизии. SHA-1 здесь безопасен.
Создайте QR-код из текста, URL или данных