Psal jsem, že předpokládám z nějakého důvodu nedůvěru – reagoval jsem na Vaše tvrzení ve stylu „a i kdyby to posílal v plaintextu“, což je scénář, ve kterém mu moc důvěry nepřisuzujete.
> Pokud používám na více místech stejné heslo, to heslo už stejně nejspíš dávno uniklo a v HIBP dávno je, takže když by se ho Hunt dozvěděl přes web,
Dost možná jen hash. A taky je to otázka množství, pravděpodobnosti atd.
> Pokud je moje heslo unikátní a já si ho přes web HIBP ověřím (a ten web by si heslo ukládal), dozví se jenom to heslo a nic jiného (ano, IP adresu, UA atd.). V čem vidíte to riziko?
Je to další heslo do slovníku. Podle dalšího profilování je určitá šance to spojit s konkrétním uživatelem. V nejjjednodušším případě TH (nebo někdo s ním spolčený) bude provozovat další službu, kde se registrujete, zadáte e-mail nebo něco podobného. To se mimochodem může stát i přímo v rámci HIBP, když tam zadáte e-mail a kontrolujete, jestli náhodou k němu není nějaký kopmpromitovaný účet. Separátní služba je ale méně nápadná.
P.S.: Nemělo to znít, že bych TH vyloženě nevěřil. Jen jsem se zamyslel, co by znamenalo, kdyby…