Hängt davon ab, was Sie unter sicherem Gebrauch verstehen. Der Dienst, den ich getestet habe, zeichnet Ihr Klartext-Passwort nicht auf, zeichnet aber wahrscheinlich Ihren ungesalzenen Hash auf. Beachten Sie, dass dies in Zukunft leicht geändert werden kann und später mit der Aufzeichnung von Klartextkennwörtern beginnen kann, es sei denn, Sie geben nur einen Hash auf der Site ein. BEARBEITEN: Anstatt diese Website zu verwenden, empfehle ich, https://lastpass.com/linkedin/ (basierend auf dieser Antwort) zu verwenden https von einer bekannten Entität und ist wahrscheinlich vertrauenswürdiger.
Wenn Sie Ihr Klartextkennwort in das Quellfeld eingeben, konvertiert clientseitiges Javascript in Ihrem Browser dieses Kennwort in einen ungesalzenen SHA-1-Hash SHA-1-Hash wird über das Netzwerk an leakedin.org gesendet, um festzustellen, ob Ihr Hash in der 6,5-Millionen-Liste enthalten ist. Die tatsächliche http GET-Anforderung, die von Ihrem Browser an den Server gesendet wird, sieht folgendermaßen aus (nachdem Sie 'password' in das Feld eingegeben haben):
GET /? Check = 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 HTTP / 1.1Host: leakedin.orgConnection: keep-aliveUser-Agent: [gesäubert] Akzeptieren: Text / HTML, Anwendung / xhtml + xml, Anwendung / xml; q = 0,9, * / *; q = 0,8Referer: http://leakedin.org/?check=7ecfd8f97b4729c6ff0799b0b4d40f870083b -Encodierung: gzip, deflate, sdchAccept-Sprache: en-US, en; q = 0,8Accept-Zeichensatz: ISO-8859-1, utf-8; q = 0,7, *; q = 0,3Cookie: first_pv_66595923 = 1; _jsuid = 1189493102Query String Parametersview URL codiert
Die Informationen aus dem Klartextkennwort können nicht aufgezeichnet werden, da sich das Cookie bei verschiedenen Klartextkennwörtern nicht wesentlich ändert und keine AJAX-Anforderungen / XHR festgestellt wurden. (Es wird auch eine Anfrage an in.getclicky.com
gesendet, aber es scheint sich um eine harmlose Webanalyse zu handeln - wie bei Google Analytics - und es scheint, dass Ihr Passwort nicht im Klartext aufgezeichnet oder irgendwie codiert wird.)
Sie sollten jedoch beachten, dass Sie nach dem Testen dieses Dienstes, selbst wenn LinkedIn Ihren ungesalzenen Hash nicht verloren hat, Ihren ungesalzenen Hash nur an eine unbekannte Entität weitergegeben haben (und diese Entität hat jetzt Ihr Passwort an eine bestimmte IP-Adresse gebunden) - genau das, worüber Sie sich anfangs Sorgen gemacht haben. Wenn Sie der Meinung sind, dass ein dedizierter Hacker Ihren Hash in Billionen von Versuchen, die Sie jetzt verloren haben, brutal erzwingen könnte, müssen Sie das gerade getestete Passwort nicht mehr verwenden. Wenn Sie jedoch Ihr Passwort bereits geändert haben und jetzt nur noch neugierig sind, können Sie diesen Dienst zur Überprüfung verwenden. Wenn Sie es leid sind, Ihr Klartext-Passwort und nicht nur den Hash aufzuzeichnen, sollten Sie empfehlen, den Hash auf Ihrem eigenen Computer zu berechnen (z. B. echo -n "Passwort" | shasum
oder echo - n "password" | openssl sha1
funktioniert unter Linux / Unix oder wenn Sie Python installiert haben, sollten Sie in der Lage sein, python -c "hashlib zu importieren; hashlib.sha1 ('your_password') zu drucken. hexdigest ()
).