Dipende da cosa intendi per sicurezza. Il servizio quando ho provato non registra la tua password in chiaro, ma probabilmente sta registrando il tuo hash non salato. Si noti che questo potrebbe facilmente essere modificato in futuro e in seguito potrebbe iniziare a registrare le password in chiaro, a meno che non si inserisca solo un hash nel sito. EDIT: Piuttosto che utilizzare questo sito, consiglio link (basato su questa risposta ) poiché utilizza https da un'entità conosciuta ed è probabilmente più affidabile.
Se si digita la password in chiaro nel campo sorgente, il javascript sul lato client del browser converte tale password in un hash SHA-1 non salato, quindi l'hash SHA-1 viene inviato in rete a leakedin.org per vedere se il tuo hash è nella lista dei 6,5 milioni. L'effettiva richiesta HTTP GET inviata dal tuo browser al loro server sembra (dopo aver digitato 'password' nel campo):
GET /?check=5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 HTTP/1.1
Host: leakedin.org
Connection: keep-alive
User-Agent: [scrubbed]
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: http://leakedin.org/?check=7ecfd8f97b4729c6ff0799b0b4d40f870083b461
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: first_pv_66595923=1; _jsuid=1189493102
Query String Parametersview URL encoded
Le informazioni dalla password in chiaro non possono essere registrate poiché il cookie non cambia in modo significativo con le password in chiaro e non sono state annotate richieste AJAX / XHR. (C'è anche una richiesta inviata a in.getclicky.com
ma sembra essere un'analitica web benigna - come google analytics e non sembra registrare la tua password in chiaro o codificarla in qualche modo).
Tuttavia , dovresti notare che una volta provato questo servizio, anche se linkedin non ha perso l'hash non salato, hai appena trapelato il tuo hash non salato a un'entità sconosciuta (e quell'entità ora ha legato la tua password ad uno specifico indirizzo IP) - la cosa che inizialmente ti preoccupava. Se pensate che un hacker dedicato potrebbe forzare il vostro hash in trilioni di tentativi che avete perso e dovete smettere di usare la password appena testata. Tuttavia, se hai già cambiato la password e ora sei solo curioso, puoi utilizzare questo servizio per verificare. Se sei stanco di registrare la tua password in chiaro e non solo l'hash, dovresti raccomandare di calcolare l'hash sul tuo computer (ad esempio, echo -n "password" | shasum
o echo -n "password" | openssl sha1
funzionano in linux / unix o se hai python installato dovresti essere in grado di fare qualcosa come python -c "import hashlib;print hashlib.sha1('your_password').hexdigest()
).