J'ai besoin d'intimité. Non pas parce que mes actions sont douteuses, mais parce que votre jugement et vos intentions le sont.
5123 links
API utilisable sans transmettre le mot de passe en clair.
On envoie seulement les 5 premiers caractères du hash du mot de passe en SHA1, et l'API renvoie la liste de tous les hash SHA1 qui débutent par ces 5 caractères (tronqués de ces 5 caractères). Cela permet de ne pas alourdir la requête.
Il faut ensuite comparer le reste des caractères du hash du mot de passe aux éléments de cette liste. Si on les y retrouve, c'est que le mot de passe a été piraté.
Voir également : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/