La contraseña se contrasta con la base de datos de haveibeenpwned.com/Passwords enviando los 5 primeros caracteres del hash SHA-1. Tu contraseña nunca sale del navegador. Más de 700 millones de contraseñas indexadas.

Las contraseñas se cifran con AES-GCM 256 bits mediante la Web Crypto API y se guardan en tu navegador. La clave se deriva con PBKDF2 (600 000 iteraciones) y nunca se almacena.