it-swarm.dev

Howsecureismypassword.net è sicuro da usare?

È sicuro inserire le mie password reali per testarle?

Voglio dire, le password inserite vengono registrate/trasmesse a qualcun altro?

15
Jafowun

Ah, questa domanda è stata posta su quadrilioni di volte non unintintilliali ma per quanto riguarda le tabelle Rainbow. Ma in questo caso, la risposta è che è sicuro inserire la password perché non viene trasmessa a un altro sito.

Esegue solo calcoli sul lato client in JavaScript, quindi non trasferisce alcuna password all'esterno del browser per eseguire l'archiviazione sul lato server o qualcosa del genere.

Tuttavia, se il sito Web viene violato, sarai sfortunato.

Il sito Web dovrebbe essere realmente identificato con un certificato valido e dovrebbe pubblicare il modo in cui proteggono il loro server, poiché è molto probabile che il sito Web della password venga violato in questo modo.

Dal momento che questo sembra avere una sorta di LAMPADA, potrebbe essere statisticamente vulnerabile alla sovrascrittura dei file o all'iniezione sql. Dovrebbe essere una pagina davvero statica, e da quello che sembra, alla fine verrà hackerata e modificata con il registratore di password.

6
Andrew Smith

È molto difficile saperlo con certezza.

Sembra che questo sito Web utilizzi uno script sul lato client per controllare la password, senza inviare nulla al server. Come tale sembra sicuro da usare.

Tuttavia, sapere che richiede una certa quantità di conoscenze tecniche. Almeno, richiede sapere come controllare cosa sta facendo uno script usando Firebug o gli strumenti di sviluppo.

Qui non sembra esserci alcuna attività di rete, ma:

  • Una versione successiva di questo servizio potrebbe cambiare il suo script senza che te ne accorgessi.
  • Potrebbero esserci condizioni imbarazzanti che gli causano l'invio di una password, potrebbe essere un bug o una "caratteristica" in base alla quale registrerebbe una classifica delle password più difficili che ha trovato (sarebbe un'idea stupida da un sito onesto, di corso).
  • Questo sito Web non utilizza HTTPS, quindi un attaccante MITM potrebbe potenzialmente sostituire questo script per farlo inviare i dati da qualche parte (forse meno probabile, ma possibile in linea di principio).

In generale, è una cattiva idea usare questo tipo di servizio proprio perché è molto difficile sapere cosa sta facendo nel caso generale (specialmente per utenti non tecnici).

30
Bruno

"sicuro" è un valore binario. Giocare alla roulette russa è sicuro? La risposta deve essere basata sul rischio.
Proverei la password che utilizzo per accedere a CNN.com? Certo, tutto ciò che la password protegge sono le mie preferenze sulla CNN. Non mi importa se è rotto.

Vorrei inserire la mia password bancaria? No, assolutamente no.

Quale valore fornisce? Quale rischio comporta?

Direi che fornisce molto poco valore; i meccanismi di calcolo di una password sicura sono ben noti e non richiedono un sito Web per funzionare. Quale rischio comporta? Alcuni rischi - ma molti altri commentatori hanno identificato modi per controllare/mitigare/ridurre quel rischio.

Il compromesso rischio/valore è accettabile? Questa è interamente una determinazione soggettiva.

6
Mark C. Wallace

è una cosa piccola e la sicurezza della soluzione non è compromessa, ma tieni presente che http://howsecureismypassword.net/ contiene 5 diversi siti Web di condivisione di cookie (come riportato da Collusion), quindi il le reti di localizzazione hanno registrato il fatto che ci sei stato.

Gli utenti meno attenti alla sicurezza possono quindi cadere per prodotti di sicurezza promossi su altri siti Web che condividono queste reti di localizzazione.

cioè perché ora troverai vari programmi di vault password pubblicizzati su siti Web per alcuni giorni!

  1. Statistiche di Google
  2. Google Syndication
  3. Doppio click
  4. API di Google
  5. Contenuto dell'utente di Google
3
Callum Wilson

Il sito analizza le password in base alla combinazione di lettere, numeri e simboli ecc. Non è necessario inserire la password specifica. OSSIA la tua password è ABc45 * bene inserisci CDz64 # e controlla, ti dirà quanto è sicura quella combinazione.

3
jashead