Howsecureismypassword.net kullanımı güvenli midir?
Test etmek için gerçek şifreleri girmek güvenli midir?
Yani, girilen parolalar başka birine kaydediliyor/aktarılıyor mu?
Ha, bu soru milyarlarca kez milyarlarca kez ama Rainbow tablolarıyla ilgili olarak soruldu. Ancak bu durumda cevap, başka bir siteye iletilmediğinden şifre girmenin güvenli olmasıdır.
Javascript'te yalnızca istemci tarafı hesaplamaları yapar, bu nedenle sunucu tarafı depolama veya bunun gibi bir şey yapmak için tarayıcı dışındaki herhangi bir şifreyi aktarmaz.
Ancak web sitesi saldırıya uğramışsa, şansınız kalmaz.
Web sitesi gerçekten geçerli sertifika ile tanımlanmalı ve sunucularını nasıl koruduklarını yayınlamalıdır, çünkü şifre web sitesi bu şekilde saldırıya uğrayacaktır.
Bu bir tür LAMP çalışıyor gibi göründüğü için, dosya üzerine yazma veya sql enjeksiyonuna istatistiksel olarak savunmasız olabilir. Gerçekten statik bir sayfa olmalı ve göründüğü gibi, sonunda şifre kaydedici ile hacklenecek ve değiştirilecektir.
Kesin olarak bilmek çok zor.
Bu web sitesinin, sunucuya hiçbir şey göndermeden şifreyi kontrol etmek için istemci tarafı bir komut dosyası kullandığı görülmektedir. Bu nedenle kullanımı güvenli görünüyor.
Ancak bunu bilmek belli miktarda teknik bilgi gerektirir. En azından Firebug veya geliştirici araçlarını kullanarak bir komut dosyasının ne yaptığını kontrol etmeyi gerektirir.
Burada herhangi bir ağ etkinliği yok gibi görünüyor, ancak:
- Bu hizmetin sonraki bir sürümü fark etmeden komut dosyasını değiştirebilir.
- Parola göndermesine neden olan garip koşullar olabilir, bu, bulduğu en zor parolaların bir lig tablosunu (dürüst bir siteden aptalca bir fikir olurdu) kaydedeceği bir hata veya bir "özellik" olabilir. elbette).
- Bu web sitesi HTTPS kullanmaz, bu nedenle MITM saldırganı , verileri bir yere göndermek için bu komut dosyasının yerini alabilir (belki daha az olasıdır, ancak prensipte mümkündür).
Genel olarak, bu tür bir hizmeti tam olarak kullanmak kötü bir fikirdir çünkü genel durumda (özellikle teknik olmayan kullanıcılar için) ne yaptığını bilmek çok zordur.
"safe" bir ikili değerdir. Rus Ruleti oynamak güvenli mi? Cevap riske dayalı olmalıdır.
CNN.com'da oturum açmak için kullandığım şifreyi test edebilir miyim? Elbette, şifrenin koruduğu tek şey CNN'deki tercihlerim. Kırılıp kırılmadığı umurumda değil.
Bankacılık şifremi girer miyim? Kesinlikle değil.
Ne değer sağlıyor? Ne gibi riskler içeriyor?
Çok az değer verdiğini iddia ediyorum; güvenli bir parola hesaplama mekanizması çok iyi bilinir ve bir web sitesinin gerçekleştirilmesi gerekmez. Ne gibi riskler içeriyor? Bazı riskler - ancak diğer bazı yorumcular bu riski kontrol etmenin/azaltmanın/azaltmanın yollarını belirlediler.
Risk/değer dengelemesi kabul edilebilir mi? Bu tamamen öznel bir kararlılık.
bu küçük bir şeydir ve çözümün güvenliği tehlikeye atılmamıştır, ancak http://howsecureismypassword.net/ (Collusion tarafından bildirildiği gibi) 5 farklı çerez paylaşım web sitesi içerdiğini unutmayın. izci ağları orada olduğunuzu kaydetti.
Daha az güvenlik düşünen kullanıcılar, bu izleyici ağlarını paylaşan diğer web sitelerinde tanıtılan güvenlik ürünleri için düşebilir.
yani, neden birkaç gün boyunca web sitelerinde size tanıtılan çeşitli şifre kasası programları bulacaksınız?
- Google Analytics
- Google Sendikası
- Çift tıklama
- Google API'ları
- Google Kullanıcı İçeriği
Site, harfleri, sayıları ve simgeleri vb. Birleştirerek şifreleri analiz eder. Özel şifrenizi girmenize gerek yoktur. I.E. şifreniz ABc45 * CDz64 # girin ve kontrol edin, bu kombinasyonun ne kadar güvenli olduğunu size söyleyecektir.