[pontus]

Hej, blev lite sugen på att bygga en sajt som testar lösenord. Kanske mest var en ursäkt för att lära sig mer i ämnet. Om vi bortser från vit text på svart bakgrund och att ingen vettig människa anger sitt "riktiga" lösenord på en publik sajt så vore lite feedback på plats. Speciellt om någon är haj på lösenord/säkerhet och kan ge fler tips på hur man kan testa lösenord/tips på nya funktioner.

http://www.mkpassword.com/password
http://www.mkpassword.com/pa55w0rd
http://www.mkpassword.com/abc123675AAA56

En tanke bakom projektet är att skapa ett api, så att jag kan skapa en krypterad request till servern med lösenordet och några parametrar och få besked om lösenordet är säkert, för att slippa hantera detta på varje sajt med medlemsfunktion individuellt. Är det någon poäng att göra ett sådant api publikt? Lösenord och säkerhet är ju känsliga frågor för många.

[Danielos]

Det första du bör göra är att köra ssl https:// på sajten.

[WeaZear]

Your password: helloworld
Strength: VERY STRONG (94%)

:P

[pontus]

WeaZear, tack för att du påpeka det, ett av filtrerna borde kickat in. Om vi ser till längden står lösenordet emot en brute-force attack skapligt. LösenOrdet är inte med i databasen över de 500 mest använda lösenorden(detta är ju subjektivt, om någon har tips på fler listor över populära lösenord så säg till, samkör gjärna). LösenOrdet är inte med i den engelska uppslagsboken sajten använder. Så min algo tycker att det är ett bra lösen. Dock borde "Common phrase" filtret som kikar på hur vanlig frasen är rent allmänt hitta detta. Ske felsöka lite.

danielos, bra tips.

[najk]

Jag tycker du värdesätter längd för starkt, exempelvis gurkburk räknas som STRONG (74%).
Sidan räknar inte rätt antal tecken, något är fel med teckenkodningen, exempelvis räknas • som tre tecken.

[KristianE]

Då SQL-injections är så vanliga idag så är det inte helt
ovanligt att hackare lyckas dumpa hela den hashade
användardatabasen. Och då kör de sällan ren brute-force,
utan Rainbow tables eller en kombination av de båda.

Då har längden ingen direkt betydelse om lösenordet
består av kända ord.

Ett lösenord på 13 tecken som bestod av två samman-
satta svenska ord och ett årtal plockade 700 MB Rainbow
tables på 1 min och 45 min sekunder under en dragning
vi höll för ett litet tag sedan för en kund.

[pontus]

KristianE, underbart med någon som kan detta. Jag skumma bara igenom rainbow tables och uppfattade det som att det var en databas över hashade ord, så fel man kan ha.

Jag ska minska betydelsen av längden och installera fler ordböcker och listor över vanliga lösenord, det borde delvis råda bot på problemet.

[nabil_akhlaque]

Your password: 0000000000
Strength: VERY STRONG (95%)

huh??

[Dennis Holm]

är inte fel i funktionen utan fel i algoritmen för att räkna ut säkerheten.

hitta lite siter om hur man gör ett säkert lösenord och kanske även kolla liknande siter/script som kanske är opensource så du kan se deras "tänk" och värderingar.

siten i sig tror jag inte mycket på men det är nog mest för det är inget jag själv skulle brinna för.

lycka till

[Dennis Holm]

1Ab&£2Ba%€ fungerar inte btw just för du använder "GET".
med post så borde det fungera klanderfritt (dock kanske inte post du vill använda..)