Jag håller absolut med dig, och om man använder en lösenordshanterare har man ju visat att man litar på den (även om man såklart kan välja en lösning där man kör allt lokalt, open source och egenkompilerat & kontrollerat om man är extra petig).
Och det säkert vara jättebra att kolla på https://haveibeenpwned.com om något är läckt, jag har gjort det ett par gånger, men om man går in på https://haveibeenpwned.con/ (fiktiv) istället och gör samma sak kanske det slutar illa.
Ett problem är annars : vem kan man lita på? Och går den alltid att lita på?
Det är ju alltid upp till ens hotbild. Väldigt få av oss är så värdefulla att vi behöver bry oss om mer än att vara säkrare än de allra flesta. Du behöver inte springa snabbare än draken; det räcker att springa snabbare än halvlingen.
Lastpass är ju ett skräckexempel på en - åtminstone tills relativt nyligen - mycket populär produkt med katastrofal säkerhet som ingen bör använda någonsin igen. Som nämndes av Medbor tidigare har andra produkter varit betydligt öppnare med hur de fungerar, och betydligt bättre på att kryptera all relevant information från sina användare.
Men även så: Använder du en lösenordshanterare så innebär det också att du har en överblick över alla de hemligheter du har, så om din lösenordsdatabas skulle hamna i orätta händer har du med stor sannolikhet tid att byta ut lösenorden på alla tjänster du använder innan angriparen hunnit dekryptera dina lösenord och använda dem.
Och återigen: För de allra flesta är en lösenordshanterare som genererar unika lösenord för varje site en gigantisk säkerhetsförbättring jämfört med vad de hade gjort annars - särskilt om de hittat på egna kluriga algoritmer för hur de ska skapa lösenord: Människor är experter på att introducera förutsägbarhet och eliminera sånt som gör lösenord matematiskt mer svårknäckta.
---
Som du ser av mina exempel ovan, är metoden Haveibeenpwned valt för lösenordskontroll ganska säker: Allt "farligt" sker på din egen dator, under din egen kontroll. Det enda som skickas över nätet är information som inte kan användas för att rekonstruera just ditt lösenord.