Have I Been Pwned: monitorare se le tue credenziali sono state compromesse

Pubblicato il 19/07/2026 Sicurezza

Quasi ogni utente di Internet da più di qualche anno ha, senza saperlo, credenziali comparse in almeno una violazione di dati (data breach) di qualche servizio che ha usato. Have I Been Pwned (HIBP), progetto indipendente mantenuto da Troy Hunt e oggi integrato anche in Microsoft Edge e altri strumenti, è il modo più diretto per scoprirlo e per essere avvisati in futuro.

Verifica rapida di un indirizzo email

Su haveibeenpwned.com basta inserire un indirizzo email: il sito confronta l'indirizzo (non la password) contro un database di miliardi di record trapelati in violazioni note, mostrando in quali violazioni specifiche è comparso quell'indirizzo e quali dati esattamente sono stati esposti in ciascuna (solo l'email? Anche password, numeri di telefono, indirizzi?).

Attivare le notifiche automatiche

La funzione più utile non è la verifica una tantum, ma l'iscrizione alle notifiche: registrando il proprio indirizzo email (con verifica tramite un link di conferma inviato via email, per evitare che chiunque possa monitorare l'email di qualcun altro senza permesso), HIBP invia un avviso automatico ogni volta che quell'indirizzo compare in una nuova violazione resa pubblica — spesso con mesi o anni di anticipo rispetto a quando la notizia diventa di dominio pubblico sui media generalisti.

Pwned Passwords: verificare una password senza inviarla al server

Una funzione meno conosciuta ma tecnicamente elegante: la sezione "Pwned Passwords" permette di verificare se una password specifica è comparsa in violazioni note, senza mai inviare la password stessa al server. Il meccanismo usa il cosiddetto k-anonymity:

  1. Il browser calcola l'hash SHA-1 della password localmente.
  2. Invia al server solo i primi 5 caratteri dell'hash.
  3. Il server risponde con tutti gli hash completi che iniziano con quei 5 caratteri (centinaia di corrispondenze).
  4. Il confronto con l'hash completo avviene localmente nel browser: il server non sa mai quale password specifica stavi verificando.

Questo stesso meccanismo è quello che alcuni password manager (incluso il controllo integrato in Bitwarden e nei browser moderni) usano internamente per segnalarti automaticamente le password compromesse tra quelle salvate, senza inviare le tue password in chiaro a nessun servizio esterno.

Verifica da riga di comando (per chi gestisce più account)

Per chi amministra molti account o vuole integrare il controllo in uno script, esiste un'API pubblica (con rate limit e, per un uso intensivo, una chiave a pagamento simbolica per sostenere il progetto):

# verifica se un hash SHA-1 di una password è compromesso (k-anonymity, primi 5 char)
curl -s "https://api.pwnedpasswords.com/range/5BAA6" | grep -i "1E4C9B93F3F0682250B6CF8331B7EE68FD8"

Cosa fare quando trovi una corrispondenza

  • Se l'email compare in una violazione dove era coinvolta anche la password, e usi ancora quella password altrove: cambiala ovunque venga riutilizzata, non solo sul servizio violato — è esattamente questo riutilizzo che rende pericolosa una singola violazione.
  • Attiva l'autenticazione a due fattori sul servizio coinvolto, se non già attiva: anche una password compromessa diventa molto meno pericolosa con un secondo fattore.
  • Se il servizio violato non è più necessario, valuta la cancellazione dell'account invece di lasciarlo dormiente con dati ormai esposti.

Un promemoria di fondo

HIBP non previene le violazioni, le rende solo visibili dopo che sono già avvenute. La difesa reale resta a monte: password uniche per servizio (gestite con un password manager, self-hosted o meno) e autenticazione a due fattori ovunque disponibile — HIBP è lo strumento che ti dice quando quella difesa è stata messa alla prova, non un sostituto della difesa stessa.