De feature controleert als je inloggegevens invult of de accountnaam en wachtwoord al eens is opgedoken in een van databases van de door de jaren heen miljarden gelekte wachtwoorden online. Deze functionaliteit was voorheen beschikbaar als losse extensie, maar vanaf Chrome 79 worden alle gebruikers eenmaal ingelogd met een Google-account geïnformeerd als gebruikte credentials ergens onthuld zijn.

Aan ZDNet deed Google een boekje open over het proces. Bij de wachtwoordencontrole wordt een sterk gehashte versie verstuurd en die wordt vergeleken met een private set intersection-techniek, waarbij twee partijen versleutelde sets informatie kunnen vergelijken zonder dat ze de informatie aan elkaar onthullen. Google, of wie dan ook, heeft zo geen toegang tot je wachtwoorden.

Vervolgens geeft Chrome gebruikers een seintje als je gegevens bekend zijn in één van de vele databases die criminelen gebruiken en adviseert je om je wachtwoord te vervangen. Dit is misschien wederom een goed moment om te kijken of jouw adres voorkomt in de database van beveiligingsonderzoeker Troy Hunt, HaveIBeenPwned, of je zelfs in te schrijven voor de HIBP-dienst die automatisch een e-mail stuurt als jouw e-mailadres opduikt in een gestolen database, zodat je direct dát wachtwoord uit de roulatie haalt.