Este complemento, disponible de momento para Google Chrome, nos facilita conocer en tiempo real y mediante una notificación emergente en el propio navegador si una contraseña que estamos introduciendo ha sido hackeada con anterioridad y, por tanto, resulta insegura.
#2 Claro, porque la IP desaparece al enviarlo (No puedes correlar despues que esa IP te pidio comprobar X password y ahora en otra web bajo tu control sabes que esa IP es del usuario Y con Z Mail), y la gente no reutiliza las claves.
Y el "completamente seguro" ya me ha matado ...
Ejemplo, Meneame sabe tu IP y tu Mail, solo necesita crear un servicio de estos y ya tiene tus passwords.
#1 Igual antes de hablar y pasarnos de listos podemos mirar como funciona, digo yo, que para algo es de código abierto. Lo que envía al servicio de comprobación son los 5 primeros dígitos del hash, en SHA1, del password.
#6 Veo que seguimos hablando sin tener ni idea de lo que decimos, el resto de dígitos del hash los compueba con la respuesta que recibe del servicio, enviar 5 es para reducir el número de respuestas que se tiene que bajar.
Y lo otro te lo vuelvo a repetir es de código abierto cualquiera puede ver que hace el plugin, son 300 líneas de código la mar de simples.
Ahora, como demuestra la primera frase de esta respuesta, puedes seguir hablando sobre lo que crees que hace o deja de hacer el plugin sin ningún tipo de fundamento, como un cuñado cualquiera.
#7 Listo, te sigo comentando ... El plugin de la Store no te lo instalas en tu chrome desde el fuente, ergo usar esto de ser muy listo no es. (Te vuelvo a repetir)
En segundo lugar, k-anonymity es una mierda como la copa de un pino que como bien indica su propio paper de mierda, te puede calzar unos 500 falsos positivos por hash chequeado.
Ale, venga, a seguir estudiando el Certified Ethical Hacker Kali Mr Robot Edition... Listo.
Joder, me recuerdas a los del Open Source es ultraseguro porque tienes el fuente, y luego os comeis durante años un pedo moñas en OpenSSL... Listo
#9 Espera a ver que repasamos quien se ha pasado de listo:
Comentario 1 del genio de KrillinUx: "Claro, porque enviarle una clave a un servicio para ver si ha sido previamente jakeada no es del genero absurdo. "
¿Envía la clave al servicio como dice KrillinUx? No, no lo hace, pero son los demás los que se pasan de listo. Aunque venga, reconozco que puedo estar equivocado, por favor proporciona la prueba de tu primer comentario donde no te pasabas de listo como he hecho yo porque lo has comprobado y sabes que efectivamente es así.
Comentario 2 del más listo de meneame KrillinUx: "Pues si son los cinco primeros digitos del hash vas a tener falsos positivos por un puto tubo, listo."
Lástima que ya te he puesto que el resto lo comprueba con la respuesta del servicio. Pero no pasa nada, como reconozco tu superioridad espero ansioso la prueba de que esto sucede así, trazas de red o algo que lo pruebe, yo solo he mirado el código fuente. Aunque claro si sucede el punto 1 esto tampoco tiene mucho sentido, porque para que enviar las 5 cifras del hash si total ya envías todo el password, pero bueno espero que me ilumines en eso con tu sabiduría.
Comentario 3 del ya eurdito KrillinUx: "Listo, te sigo comentando ... El plugin de la Store no te lo instalas en tu chrome desde el fuente, ergo usar esto de ser muy listo no es. (Te vuelvo a repetir)"
Si no te fías de la extensión sigues teniendo el código, aunque minificado, en el directorio de extensiones de Chrome, así que puedes mirar lo que hace, o incluso comprobar que la firma que ha instalado es válida. Y si aun así no te fías te la puedes bajar e instalar de GitHub si es que tanta falta te hace, pero vamos supongo que si llegas a ese nivel debes estar usando chromium y compilándolo a mano después de revisar todo el código en cada versión que saca, comparado con eso revisar 300 líneas de Javascript chorra es trivial.
Comentario 4: "En segundo lugar, k-anonymity es una mierda como la copa de un pino que como bien indica su propio paper de mierda, te puede calzar unos 500 falsos positivos por hash chequeado."
A ver, los 500 falsos positivos, suponiendo que sean falsos, son los que devuelve el servidor al navegador, luego este comprueba el resto del hash en local para saber si realmente está. La idea de anonimizar aplicada en este caso es que el SERVIDOR no pueda identificar el password, cosa que se cumple pues puede que esté en la lista, pero el servidor sigue sin saber cual de los 500 es exactamente, o que directamente no esté en la lista y sea un hash distinto, el cliente siempre comprueba los hash completos con lo cual solo hay dos opciones o existe o no existe.
Y ahora sigue tú haciendo de cuñado por no reconocer que la has cagado monumentalmente soltando lo primero que te venía a la cabeza en #1 sin haberte molestado en mirar absolutamente nada.
"y hace uso de la propiedad k-anonymity para asegurarse de que nunca se vean, almacenen o envíen contraseñas a través de la red durante el proceso de comprobación."
...
"es una extensión completamente gratuita, de código abierto "
Supongo que mandara las password s haseadas para evitar que sean vistas y almacenadas en claro.
Comentarios
Claro, porque enviarle una clave a un servicio para ver si ha sido previamente jakeada no es del genero absurdo.
#1 mientras envie solo la contraseña y no envie la pagina web, el email o el login es completamente seguro..
#2 Claro, porque la IP desaparece al enviarlo (No puedes correlar despues que esa IP te pidio comprobar X password y ahora en otra web bajo tu control sabes que esa IP es del usuario Y con Z Mail), y la gente no reutiliza las claves.
Y el "completamente seguro" ya me ha matado ...
Ejemplo, Meneame sabe tu IP y tu Mail, solo necesita crear un servicio de estos y ya tiene tus passwords.
#3 Dado que usamos la misma contraseña para todo, ya tiene nuestra
scontraseñas.#2 Una buena demostración sería si nos dieras una contraseña real que usas en alguna página web, email, etc. No nos digas en dónde la usas.
#1 Igual antes de hablar y pasarnos de listos podemos mirar como funciona, digo yo, que para algo es de código abierto. Lo que envía al servicio de comprobación son los 5 primeros dígitos del hash, en SHA1, del password.
#5 Pues si son los cinco primeros digitos del hash vas a tener falsos positivos por un puto tubo, listo.
Por no hablar que fiarse de darle tu clave a un plugin para comprobar si ha sido hackeada sigue siendo de ser poco inteligente, listo.
#6 Veo que seguimos hablando sin tener ni idea de lo que decimos, el resto de dígitos del hash los compueba con la respuesta que recibe del servicio, enviar 5 es para reducir el número de respuestas que se tiene que bajar.
Y lo otro te lo vuelvo a repetir es de código abierto cualquiera puede ver que hace el plugin, son 300 líneas de código la mar de simples.
Ahora, como demuestra la primera frase de esta respuesta, puedes seguir hablando sobre lo que crees que hace o deja de hacer el plugin sin ningún tipo de fundamento, como un cuñado cualquiera.
#7 Listo, te sigo comentando ... El plugin de la Store no te lo instalas en tu chrome desde el fuente, ergo usar esto de ser muy listo no es. (Te vuelvo a repetir)
En segundo lugar, k-anonymity es una mierda como la copa de un pino que como bien indica su propio paper de mierda, te puede calzar unos 500 falsos positivos por hash chequeado.
Ale, venga, a seguir estudiando el Certified Ethical Hacker Kali Mr Robot Edition... Listo.
Joder, me recuerdas a los del Open Source es ultraseguro porque tienes el fuente, y luego os comeis durante años un pedo moñas en OpenSSL... Listo
#9 Espera a ver que repasamos quien se ha pasado de listo:
Comentario 1 del genio de KrillinUx: "Claro, porque enviarle una clave a un servicio para ver si ha sido previamente jakeada no es del genero absurdo. "
¿Envía la clave al servicio como dice KrillinUx? No, no lo hace, pero son los demás los que se pasan de listo. Aunque venga, reconozco que puedo estar equivocado, por favor proporciona la prueba de tu primer comentario donde no te pasabas de listo como he hecho yo porque lo has comprobado y sabes que efectivamente es así.
Comentario 2 del más listo de meneame KrillinUx: "Pues si son los cinco primeros digitos del hash vas a tener falsos positivos por un puto tubo, listo."
Lástima que ya te he puesto que el resto lo comprueba con la respuesta del servicio. Pero no pasa nada, como reconozco tu superioridad espero ansioso la prueba de que esto sucede así, trazas de red o algo que lo pruebe, yo solo he mirado el código fuente. Aunque claro si sucede el punto 1 esto tampoco tiene mucho sentido, porque para que enviar las 5 cifras del hash si total ya envías todo el password, pero bueno espero que me ilumines en eso con tu sabiduría.
Comentario 3 del ya eurdito KrillinUx: "Listo, te sigo comentando ... El plugin de la Store no te lo instalas en tu chrome desde el fuente, ergo usar esto de ser muy listo no es. (Te vuelvo a repetir)"
Si no te fías de la extensión sigues teniendo el código, aunque minificado, en el directorio de extensiones de Chrome, así que puedes mirar lo que hace, o incluso comprobar que la firma que ha instalado es válida. Y si aun así no te fías te la puedes bajar e instalar de GitHub si es que tanta falta te hace, pero vamos supongo que si llegas a ese nivel debes estar usando chromium y compilándolo a mano después de revisar todo el código en cada versión que saca, comparado con eso revisar 300 líneas de Javascript chorra es trivial.
Comentario 4: "En segundo lugar, k-anonymity es una mierda como la copa de un pino que como bien indica su propio paper de mierda, te puede calzar unos 500 falsos positivos por hash chequeado."
A ver, los 500 falsos positivos, suponiendo que sean falsos, son los que devuelve el servidor al navegador, luego este comprueba el resto del hash en local para saber si realmente está. La idea de anonimizar aplicada en este caso es que el SERVIDOR no pueda identificar el password, cosa que se cumple pues puede que esté en la lista, pero el servidor sigue sin saber cual de los 500 es exactamente, o que directamente no esté en la lista y sea un hash distinto, el cliente siempre comprueba los hash completos con lo cual solo hay dos opciones o existe o no existe.
Y ahora sigue tú haciendo de cuñado por no reconocer que la has cagado monumentalmente soltando lo primero que te venía a la cabeza en #1 sin haberte molestado en mirar absolutamente nada.
#1 hay que leerse la noticia antes de comentar:
"y hace uso de la propiedad k-anonymity para asegurarse de que nunca se vean, almacenen o envíen contraseñas a través de la red durante el proceso de comprobación."
...
"es una extensión completamente gratuita, de código abierto "
Supongo que mandara las password s haseadas para evitar que sean vistas y almacenadas en claro.
Y mientras tanto te hackeara 40
Circulen