it-swarm-vi.com

Howsecureismypassword.net có an toàn để sử dụng không?

Có an toàn để nhập mật khẩu thực của tôi để kiểm tra chúng?

Ý tôi là, mật khẩu đã nhập có được ghi/truyền cho người khác không?

15
Jafowun

Ha, câu hỏi này đã được hỏi về hàng triệu triệu lần nhưng không liên quan đến các bảng Rainbow. Nhưng trong trường hợp này, câu trả lời là nhập mật khẩu an toàn vì nó không được truyền đến trang khác.

Nó chỉ tính toán phía máy khách trong javascript, vì vậy nó không chuyển bất kỳ mật khẩu nào bên ngoài trình duyệt để thực hiện lưu trữ phía máy chủ hoặc đại loại như thế này.

Tuy nhiên nếu trang web bị hack, bạn sẽ không gặp may.

Trang web phải được xác định thực sự với chứng chỉ hợp lệ cũng như nó sẽ xuất bản cách họ bảo vệ máy chủ của họ, bởi vì trang web mật khẩu rất có thể bị hack theo cách này.

Vì cái này có vẻ đang chạy một số LAMP, có thể dễ bị tổn thương khi ghi đè lên hoặc tiêm sql theo thống kê. Nó phải là trang thực sự tĩnh, và từ những gì nó trông, cuối cùng sẽ bị hack và sửa đổi với bộ ghi mật khẩu.

6
Andrew Smith

Chắc chắn rất khó để biết.

Dường như trang web này sử dụng tập lệnh phía máy khách để kiểm tra mật khẩu, mà không gửi bất cứ điều gì đến máy chủ. Vì vậy, nó có vẻ an toàn để sử dụng.

Tuy nhiên, biết rằng đòi hỏi một lượng kiến ​​thức kỹ thuật nhất định. Ít nhất, nó đòi hỏi phải biết cách kiểm tra tập lệnh đang làm gì bằng cách sử dụng Fireorms hoặc công cụ dành cho nhà phát triển.

Ở đây dường như không có bất kỳ hoạt động mạng nào, nhưng:

  • Phiên bản mới hơn của dịch vụ này có thể thay đổi tập lệnh của nó mà bạn không nhận thấy.
  • Có thể có những điều kiện khó xử khiến nó phải gửi mật khẩu, đó có thể là một lỗi hoặc một "tính năng", theo đó nó sẽ ghi lại một bảng liên kết các mật khẩu khó nhất mà nó đã tìm thấy (đó sẽ là một ý tưởng ngu ngốc từ một trang web trung thực, về khóa học).
  • Trang web này không sử dụng HTTPS, do đó kẻ tấn công MITM có khả năng có thể thay thế tập lệnh này để khiến nó gửi dữ liệu ở đâu đó (có thể ít có khả năng, nhưng về nguyên tắc có thể).

Nói chung, việc sử dụng chính xác loại dịch vụ này là một ý tưởng tồi vì rất khó để biết những gì nó đang làm trong trường hợp chung (đặc biệt là đối với người dùng không có kỹ thuật).

30
Bruno

"An toàn" là một giá trị nhị phân. Chơi Roulette Nga có an toàn không? Câu trả lời phải dựa trên rủi ro.
[.__.] Tôi có kiểm tra mật khẩu tôi sử dụng để đăng nhập vào CNN.com không? Chắc chắn, tất cả những mật khẩu bảo vệ là sở thích của tôi trên CNN. Tôi không quan tâm nếu nó bị hỏng.

Tôi có thể nhập mật khẩu ngân hàng không? Không, hoàn toàn không.

Nó cung cấp giá trị gì? Rủi ro gì nó liên quan?

Tôi cho rằng nó cung cấp rất ít giá trị; các cơ chế tính toán mật khẩu an toàn rất nổi tiếng và không yêu cầu trang web phải thực hiện. Rủi ro gì nó liên quan? Một số rủi ro - nhưng một số nhà bình luận khác đã xác định các cách để kiểm soát/giảm thiểu/giảm thiểu rủi ro đó.

Là sự đánh đổi rủi ro/giá trị có thể chấp nhận? Đó hoàn toàn là một quyết định chủ quan.

6
Mark C. Wallace

đó là một điều nhỏ nhặt và sự an toàn của giải pháp không bị xâm phạm, nhưng hãy nhớ rằng http://howsecureismypassword.net/ chứa 5 trang web chia sẻ cookie khác nhau (theo báo cáo của Collusion), vì vậy mạng theo dõi đã ghi lại rằng thực tế là bạn đã ở đó.

Người dùng ít bảo mật hơn có thể rơi vào các sản phẩm bảo mật được quảng cáo trên các trang web khác có chung các mạng theo dõi này.

tức là tại sao bây giờ bạn sẽ tìm thấy các chương trình kho tiền mật khẩu khác nhau được quảng cáo cho bạn trên các trang web trong một vài ngày!

  1. Google Analytics
  2. Tổ chức Google
  3. Nhấn đúp chuột
  4. API Google
  5. Nội dung người dùng Google
3
Callum Wilson

Trang web phân tích mật khẩu dựa trên sự kết hợp của các chữ cái, số và ký hiệu, v.v. Bạn không cần nhập mật khẩu cụ thể. I E. mật khẩu của bạn là ABc45 * cũng nhập CDz64 # và kiểm tra, nó sẽ cho bạn biết sự kết hợp đó an toàn như thế nào.

3
jashead