¿Es seguro usar howsecureismypassword.net?

14

¿Es seguro ingresar mis contraseñas reales para probarlas?

Quiero decir, ¿las contraseñas ingresadas se están grabando / transmitiendo a otra persona?

    
pregunta Jafowun 22.07.2012 - 19:11
fuente

6 respuestas

6

Ha, esta pregunta se ha preguntado acerca de los cuatrillones de no agillones, pero en lo que respecta a las tablas de arco iris. Pero en este caso, la respuesta es que es seguro ingresar la contraseña porque no se transmite a otro sitio.

Solo realiza cálculos del lado del cliente en javascript, por lo que no transfiere ninguna contraseña fuera del navegador para realizar el almacenamiento del lado del servidor o algo así.

Sin embargo, si el sitio web es hackeado, no tendrás suerte.

El sitio web debería estar realmente identificado con un certificado válido, así como publicar cómo protegen su servidor, ya que es muy probable que el sitio web de contraseñas sea pirateado de esta manera.

Como este parece tener algún tipo de LAMP, podría ser vulnerable a la sobrescritura de archivos o la inyección de SQL de forma estadística. Debería ser una página realmente estática, y por su apariencia, eventualmente será hackeada y modificada con el registrador de contraseñas.

    
respondido por el Andrew Smith 22.07.2012 - 19:27
fuente
30

Es muy difícil saberlo con seguridad.

Parece que este sitio web utiliza una secuencia de comandos del lado del cliente para comprobar la contraseña, sin enviar nada al servidor. Como tal, parece que es seguro de usar.

Sin embargo, saber eso requiere cierta cantidad de conocimiento técnico. Al menos, se requiere saber cómo verificar qué está haciendo un script usando Firebug o herramientas de desarrollador.

Aquí no parece haber actividad en la red, pero:

  • Una versión posterior de este servicio podría cambiar su secuencia de comandos sin que te des cuenta.
  • Podría haber condiciones incómodas que hagan que envíe una contraseña, podría ser un error o una "característica" mediante la cual registraría una tabla de la liga de las contraseñas más difíciles que haya encontrado (esa sería una idea estúpida de un honesto sitio, por supuesto).
  • Este sitio web no utiliza HTTPS, por lo que un atacante MITM podría potencialmente reemplazar este script para que envíe los datos a algún lugar (quizás menos probable, pero posible en principio).

En general, es una mala idea usar este tipo de servicio precisamente porque es muy difícil saber qué está haciendo en el caso general (especialmente para usuarios no técnicos).

    
respondido por el Bruno 22.07.2012 - 21:09
fuente
6

"seguro" es un valor binario. ¿Es seguro jugar a la ruleta rusa? La respuesta tiene que estar basada en el riesgo.
¿Probaría la contraseña que utilizo para iniciar sesión en CNN.com? Claro, todo lo que esa contraseña protege son mis preferencias en CNN. No me importa si está roto.

¿Pondría mi contraseña bancaria? No absolutamente no.

¿Qué valor proporciona? ¿Qué riesgo implica?

Yo diría que proporciona muy poco valor; Los mecanismos para calcular una contraseña segura son muy conocidos y no requieren un sitio web para realizarlos. ¿Qué riesgo implica? Algunos riesgos, pero varios otros comentaristas han identificado formas de controlar / mitigar / reducir ese riesgo.

¿Es aceptable el compromiso riesgo / valor? Eso es completamente una determinación subjetiva.

    
respondido por el Mark C. Wallace 13.12.2012 - 18:27
fuente
3

El sitio analiza las contraseñas basándose en la combinación de letras, números y símbolos, etc. No es necesario que ingrese su contraseña específica. ES DECIR. su contraseña es ABc45 * bien ingrese CDz64 # y verifique, le dirá qué tan segura es esa combinación.

    
respondido por el jashead 27.08.2012 - 15:55
fuente
3

es algo pequeño, y la seguridad de la solución no se ve comprometida, pero tenga en cuenta que enlace contiene 5 sitios web diferentes para compartir cookies ( según lo informado por Collusion), por lo que las redes de seguimiento han registrado el hecho de que ha estado allí.

Los usuarios menos preocupados por la seguridad pueden optar por los productos de seguridad promocionados en otros sitios web que comparten estas redes de seguimiento.

es decir, ¡por qué ahora encontrará varios programas de almacenamiento de contraseñas que se anuncian en los sitios web durante unos días!

  1. Google Analytics
  2. Google Syndication
  3. doble clic
  4. API de Google
  5. Contenido de usuario de Google
respondido por el Callum Wilson 13.12.2012 - 17:51
fuente
-5

Es seguro.

No está proporcionando credenciales completas (no solicita su ID de usuario que va con la contraseña que está verificando), por lo que incluso si transmitiera la contraseña, cualquiera que vea estos datos no tendrá idea de a quién pertenece. es.

    
respondido por el SSS 13.12.2012 - 17:31
fuente

Lea otras preguntas en las etiquetas