it-swarm-eu.dev

Je howsecureismypassword.net bezpečné používat?

Je bezpečné zadat moje skutečná hesla a vyzkoušet je?

Chci říct, jsou zadaná hesla zaznamenána/předána někomu jinému?

15
Jafowun

Ha, tato otázka byla položena čtyřnásobně neagintilionkrát, ale pokud jde o tabulky Rainbow. V tomto případě je však odpovědí, že je bezpečné zadat heslo, protože není přeneseno na jiný web.

V JavaScriptu provádí pouze výpočty na straně klienta, takže nepřenáší žádná hesla mimo prohlížeč, aby provedl úložiště na straně serveru nebo něco podobného.

Pokud je však web napaden, budete mít smůlu.

Web by měl být skutečně označen platným certem a měl by také zveřejňovat, jak chrání jejich server, protože web s heslem je velmi pravděpodobně takto hacknut.

Vzhledem k tomu, že tento vypadá spuštěním nějakého LAMP, může být statisticky zranitelný vůči přepisování souborů nebo injektování sql. Mělo by se jednat o skutečně statickou stránku a podle toho, jak vypadá, bude nakonec hacknut a upraven pomocí loggeru hesel.

6
Andrew Smith

Je velmi těžké to s jistotou vědět.

Zdá se, že tento web používá ke kontrole hesla skript na straně klienta, aniž by cokoli poslal na server. Zdá se, že je bezpečné používat.

Znalost, která však vyžaduje určité množství technických znalostí. Alespoň vyžaduje vědět, jak zkontrolovat, co skript dělá pomocí Firebug nebo vývojářských nástrojů.

Zdá se, že zde není žádná síťová aktivita, ale:

  • Novější verze této služby by mohla změnit její skript, aniž byste si toho všimli.
  • Mohou existovat nepříjemné podmínky, které způsobí, že zašle heslo, může to být chyba nebo „funkce“, při které by se zaznamenávala tabulka lig s nejtěžšími hesly, které našla (to by byl hloupý nápad z čestného webu, chod).
  • Tento web nepoužívá HTTPS, takže MITM útočník by mohl potenciálně nahradit tento skript, aby mohl někam posílat data (možná méně pravděpodobně, ale v zásadě je to možné).

Obecně je špatný nápad používat tento druh služby právě proto, že je velmi obtížné vědět, co dělá v obecném případě (zejména pro netechnické uživatele).

30
Bruno

„bezpečný“ je binární hodnota. Je bezpečné hrát ruskou ruletu? Odpověď musí být založena na riziku.
Vyzkoušel bych heslo, které používám k přihlášení do CNN.com? Jistě, všechno, co chrání heslo, je moje preference na CNN. Je mi jedno, jestli je to zlomené.

Vložil bych své bankovní heslo? Ne, rozhodně ne.

Jakou hodnotu poskytuje? Jaká rizika to představuje?

Tvrdil bych, že to poskytuje velmi malou hodnotu; mechanika výpočtu bezpečného hesla je velmi dobře známa a nevyžaduje provedení webových stránek. Jaká rizika to představuje? Některá rizika - ale několik dalších komentátorů určilo způsoby, jak toto riziko kontrolovat/zmírňovat/snižovat.

Je kompromis mezi rizikem a hodnotou přijatelný? To je zcela subjektivní odhodlání.

6
Mark C. Wallace

je to malá věc a bezpečnost řešení není ohrožena, ale mějte na paměti, že http://howsecureismypassword.net/ obsahuje 5 různých webů pro sdílení souborů cookie (jak uvádí Collusion), takže sledovací sítě zaznamenaly tuto skutečnost, že jste tam byli.

Uživatelé se sníženou bezpečností pak mohou hledat propagované bezpečnostní produkty na jiných webech, které sdílejí tyto sítě sledovače.

tj. proč nyní najdete různé programy úschovny hesel, které se na vás na několik dní inzerují!

  1. Google Analytics
  2. Google Syndication
  3. Dvojklik
  4. Google API
  5. Uživatelský obsah Google
3
Callum Wilson

Web analyzuje hesla na základě kombinace písmen, číslic a symbolů atd. Není třeba zadávat konkrétní heslo. TJ. vaše heslo je ABc45 *, zadejte CDz64 # a zkontrolujte, že vám řekne, jak je tato kombinace bezpečná.

3
jashead