¿Debo confiar en zxcvbn con mi contraseña?

1

Quiero medir la entropía de la contraseña actual y futura con la fórmula zxcvbn .
¿Hay alguna forma de probar y detectar si la información de este sitio web es verdaderamente confidencial?

EDIT :
1. Encontré una solución desconcertantemente fácil en un superusuario. En Firefox, al guardar la página, elija la opción "completa" para que se incluyan los archivos js.
2. Como SOJPM sugiere, no es necesario probar su contraseña real. Un patrón idéntico debería hacer.

    
pregunta Manumit 09.06.2015 - 20:58
fuente

1 respuesta

6

Por lo que sé, el proyecto zxcvbn es una aplicación javascript completamente del lado del cliente, lo que significa que, en teoría, no es necesario enviar datos al servidor.

Para averiguar si está enviando datos o no, puedes hacer varias cosas;

  1. Use un detector de paquetes, como wireshark, para inspeccionar los datos que esta página web está enviando al servidor.

  2. En la página a la que te vinculas, puedes ver el Origen de la página y hacer clic en todas las secuencias de comandos zxcvbn/*.js que se están ejecutando. ¡Echa un vistazo por ti mismo a lo que están haciendo!

  3. En el caso de zxcvbn específicamente; Este es un proyecto de código abierto. Puede encontrar la fuente en github.com/dropbox/zxcvbn . Si planea usar zxcvbn como un complemento en su propia página, puede mirar el código fuente exacto que está ejecutando y asegurarse de que no esté haciendo nada sospechoso. Si está haciendo algo con lo que no se siente cómodo, ¡entonces modifíquelo! O, si JavaScript no es lo tuyo, hay puertos zxcvbn de código abierto para casi todos los idiomas imaginables en github.

respondido por el Mike Ounsworth 09.06.2015 - 21:14
fuente

Lea otras preguntas en las etiquetas