FAQ |
Kalender |
2009-10-10, 18:14 | #1 | ||
|
|||
Flitig postare
|
Hej, blev lite sugen på att bygga en sajt som testar lösenord. Kanske mest var en ursäkt för att lära sig mer i ämnet. Om vi bortser från vit text på svart bakgrund och att ingen vettig människa anger sitt "riktiga" lösenord på en publik sajt så vore lite feedback på plats. Speciellt om någon är haj på lösenord/säkerhet och kan ge fler tips på hur man kan testa lösenord/tips på nya funktioner.
http://www.mkpassword.com/password http://www.mkpassword.com/pa55w0rd http://www.mkpassword.com/abc123675AAA56 En tanke bakom projektet är att skapa ett api, så att jag kan skapa en krypterad request till servern med lösenordet och några parametrar och få besked om lösenordet är säkert, för att slippa hantera detta på varje sajt med medlemsfunktion individuellt. Är det någon poäng att göra ett sådant api publikt? Lösenord och säkerhet är ju känsliga frågor för många. |
||
Svara med citat |
2009-10-10, 18:22 | #2 | |||
|
||||
Klarade millennium-buggen
|
Det första du bör göra är att köra ssl https:// på sajten.
|
|||
Svara med citat |
2009-10-10, 18:56 | #3 | ||
|
|||
Mycket flitig postare
|
Your password: helloworld
Strength: VERY STRONG (94%) :P |
||
Svara med citat |
2009-10-10, 19:35 | #4 | ||
|
|||
Flitig postare
|
WeaZear, tack för att du påpeka det, ett av filtrerna borde kickat in. Om vi ser till längden står lösenordet emot en brute-force attack skapligt. LösenOrdet är inte med i databasen över de 500 mest använda lösenorden(detta är ju subjektivt, om någon har tips på fler listor över populära lösenord så säg till, samkör gjärna). LösenOrdet är inte med i den engelska uppslagsboken sajten använder. Så min algo tycker att det är ett bra lösen. Dock borde "Common phrase" filtret som kikar på hur vanlig frasen är rent allmänt hitta detta. Ske felsöka lite.
danielos, bra tips. |
||
Svara med citat |
2009-10-10, 22:21 | #5 | |||
|
||||
Har WN som tidsfördriv
|
Jag tycker du värdesätter längd för starkt, exempelvis gurkburk räknas som STRONG (74%).
Sidan räknar inte rätt antal tecken, något är fel med teckenkodningen, exempelvis räknas • som tre tecken. |
|||
Svara med citat |
2009-10-10, 23:06 | #6 | ||
|
|||
Klarade millennium-buggen
|
Då SQL-injections är så vanliga idag så är det inte helt
ovanligt att hackare lyckas dumpa hela den hashade användardatabasen. Och då kör de sällan ren brute-force, utan Rainbow tables eller en kombination av de båda. Då har längden ingen direkt betydelse om lösenordet består av kända ord. Ett lösenord på 13 tecken som bestod av två samman- satta svenska ord och ett årtal plockade 700 MB Rainbow tables på 1 min och 45 min sekunder under en dragning vi höll för ett litet tag sedan för en kund. |
||
Svara med citat |
2009-10-10, 23:38 | #7 | ||
|
|||
Flitig postare
|
KristianE, underbart med någon som kan detta. Jag skumma bara igenom rainbow tables och uppfattade det som att det var en databas över hashade ord, så fel man kan ha.
Jag ska minska betydelsen av längden och installera fler ordböcker och listor över vanliga lösenord, det borde delvis råda bot på problemet. |
||
Svara med citat |
2009-10-11, 00:04 | #8 | |||
|
||||
Flitig postare
|
Your password: 0000000000
Strength: VERY STRONG (95%) huh?? |
|||
Svara med citat |
2009-10-11, 00:51 | #9 | ||
|
|||
Bara ett inlägg till!
|
är inte fel i funktionen utan fel i algoritmen för att räkna ut säkerheten.
hitta lite siter om hur man gör ett säkert lösenord och kanske även kolla liknande siter/script som kanske är opensource så du kan se deras "tänk" och värderingar. siten i sig tror jag inte mycket på men det är nog mest för det är inget jag själv skulle brinna för. lycka till |
||
Svara med citat |
2009-10-11, 00:54 | #10 | ||
|
|||
Bara ett inlägg till!
|
1Ab&£2Ba%€ fungerar inte btw just för du använder "GET".
med post så borde det fungera klanderfritt (dock kanske inte post du vill använda..) |
||
Svara med citat |
Svara |
|
|