it-swarm-eu.dev

Ist die Verwendung von howsecureismypassword.net sicher?

Ist es sicher, meine echten Passwörter einzugeben, um sie zu testen?

Ich meine, werden die eingegebenen Passwörter aufgezeichnet/an eine andere Person übertragen?

15
Jafowun

Ha, diese Frage wurde über Billiarden Nicht-Milliarden-mal gestellt, aber in Bezug auf Regenbogentabellen. In diesem Fall lautet die Antwort jedoch, dass die Eingabe eines Kennworts sicher ist, da es nicht an eine andere Site übertragen wird.

Es werden nur clientseitige Berechnungen in Javascript durchgeführt, sodass keine Kennwörter außerhalb des Browsers übertragen werden, um serverseitigen Speicher oder ähnliches durchzuführen.

Wenn die Website jedoch gehackt wird, haben Sie kein Glück.

Die Website sollte wirklich mit einem gültigen Zertifikat identifiziert sein und auch veröffentlichen, wie sie ihren Server schützen, da die Passwort-Website sehr wahrscheinlich auf diese Weise gehackt wird.

Da dieser eine Art LAMP ausführt, ist er möglicherweise anfällig für das Überschreiben von Dateien oder die statistische SQL-Injection. Es sollte wirklich eine statische Seite sein und wird, wie es aussieht, irgendwann mit dem Passwort-Logger gehackt und modifiziert.

6
Andrew Smith

Es ist sehr schwer sicher zu wissen.

Es scheint, dass diese Website ein clientseitiges Skript verwendet, um das Kennwort zu überprüfen, ohne etwas an den Server zu senden. Als solches scheint es sicher zu sein, es zu benutzen.

Um dies zu wissen, ist jedoch ein gewisses Maß an technischem Wissen erforderlich. Zumindest muss man wissen, wie man mit Firebug- oder Entwicklertools überprüft, was ein Skript tut.

Hier scheint es keine Netzwerkaktivität zu geben, aber:

  • Eine spätere Version dieses Dienstes kann das Skript ändern, ohne dass Sie es bemerken.
  • Es könnte unangenehme Bedingungen geben, die dazu führen, dass es ein Passwort sendet, es könnte ein Fehler oder eine "Funktion" sein, durch die eine Rangliste der schwierigsten Passwörter aufgezeichnet wird, die es gefunden hat (das wäre eine dumme Idee von einer ehrlichen Website, von Kurs).
  • Diese Website verwendet kein HTTPS, daher könnte ein MITM-Angreifer dieses Skript möglicherweise ersetzen, damit die Daten irgendwohin gesendet werden (möglicherweise weniger wahrscheinlich, aber im Prinzip möglich).

Im Allgemeinen ist es eine schlechte Idee, diese Art von Service genau deshalb zu nutzen, weil es sehr schwierig ist zu wissen, was er im allgemeinen Fall tut (insbesondere für nicht technische Benutzer).

30
Bruno

"sicher" ist ein Binärwert. Ist es sicher, russisches Roulette zu spielen? Die Antwort muss risikobasiert sein.
Würde ich das Passwort testen, mit dem ich mich bei CNN.com anmelde? Sicher, alles, was das Passwort schützt, sind meine Vorlieben für CNN. Es ist mir egal, ob es kaputt ist.

Würde ich mein Bankpasswort eingeben? Nein auf keinen Fall.

Welchen Wert bietet es? Welches Risiko ist damit verbunden?

Ich würde behaupten, es bietet sehr wenig Wert; Die Mechanismen zur Berechnung eines sicheren Passworts sind sehr bekannt und erfordern keine Website. Welches Risiko ist damit verbunden? Ein gewisses Risiko - aber mehrere andere Kommentatoren haben Möglichkeiten identifiziert, dieses Risiko zu kontrollieren/zu mindern/zu reduzieren.

Ist der Risiko-Wert-Kompromiss akzeptabel? Das ist eine subjektive Bestimmung.

6
Mark C. Wallace

es ist eine kleine Sache, und die Sicherheit der Lösung wird nicht beeinträchtigt. Beachten Sie jedoch, dass http://howsecureismypassword.net/ 5 verschiedene Websites zum Teilen von Cookies enthält (wie von Collusion gemeldet) Tracker-Netzwerke haben die Tatsache aufgezeichnet, dass Sie dort waren.

Weniger sicherheitsbewusste Benutzer könnten dann auf beworbene Sicherheitsprodukte auf anderen Websites hereinfallen, die diese Trackernetzwerke gemeinsam nutzen.

d.h. warum Sie jetzt verschiedene Passwort-Tresor-Programme finden, die Ihnen einige Tage lang auf Websites beworben werden!

  1. Google Analytics
  2. Google Syndication
  3. Doppelklick
  4. Google APIs
  5. Google-Nutzerinhalt
3
Callum Wilson

Die Site analysiert Passwörter basierend auf der Kombination von Buchstaben, Zahlen und Symbolen usw. Sie müssen Ihr spezifisches Passwort nicht eingeben. I.E. Ihr Passwort lautet ABc45 *. Geben Sie CDz64 # ein und überprüfen Sie, ob diese Kombination sicher ist.

3
jashead