Sebbene Gbt3fC79ZmMEFUFJ
sia certamente una scelta sbagliata di password ora , visto che la tua domanda ha generato molte attività su Stack Exchange e ha quindi ampiamente pubblicato la password, ho non credo che ci sia una ragione riconoscibile per cui possiamo individuare il motivo per cui questo sito web direbbe che è brutto in primo luogo, perché, francamente, non è una fonte credibile.
La fonte che tu " il disegno da cui attingere sembra essere un elenco vagamente organizzato di suggerimenti per la sicurezza di qualità da bassa a media. Alcuni suggerimenti sono validi (ad esempio, utilizzare l'autenticazione in due passaggi quando possibile, bloccare il computer e il telefono cellulare quando li si lascia), ma alcuni di essi sono stati messi in discussione da esperti di sicurezza (ad esempio, cambiare le password ogni 10 settimane, utilizzare almeno una maiuscola / minuscola / numero / simbolo) e alcune sembrano decisamente paranoiche (es. suggerimento 22, che afferma che se hai un router WiFi a casa, gli aggressori nelle vicinanze possono rilevare le password che stai digitando a causa dei cambiamenti nel Segnale WiFi dal muovere le mani e che l'uso di una tastiera su schermo con layout casuali attenuerà questo problema).
E anche se probabilmente non è un problema che la maggior parte dei suggerimenti sono mal corretti (con molte ortografie errori e incongruenze di punteggiatura), è un problema che non viene citato assolutamente nessuno dei suggerimenti e che l'intero sito web è anonimo. Non ci sono citazioni di esperti di sicurezza, né articoli su cui possiamo leggere per ulteriori informazioni o discussioni. E il sito Web non contiene assolutamente informazioni sull'autore: in nessun punto del sito Web, o anche nella registrazione Whois del sito Web, esiste un modo per contattare l'autore o persino sapere chi è.
Questo essenzialmente significa che abbiamo poco o nessun modo per determinare quanto sia valido un suggerimento " Gbt3fC79ZmMEFUFJ
è una password debole", o cosa significa. Non abbiamo certo modo di contattare l'autore di questo sito web e chiederglielo noi stessi, e dubito addirittura che sarebbe utile farlo. Penso che sia meglio ignorare questo suggerimento, prendendo in considerazione solo il fatto che Gbt3fC79ZmMEFUFJ
non dovrebbe essere utilizzato perché ne abbiamo parlato a lungo.
TL ; DR: Passwordsgenerator.net è solo un altro sconosciuto anonimo su Internet: ignoralo.
Come addendum, potresti essere interessato ad altre cose che ho scoperto quando ero ispezionando il sito stesso, per avere un contesto migliore su quello che era e forse trovare maggiori informazioni su di esso. Quello che ho trovato non è stato molto piacevole:
- Il sito web fornisce un'opzione (selezionata per impostazione predefinita, ma comunque) per non generare la password sul server. Ho esaminato il codice sorgente e la visualizzazione del traffico di rete nella finestra Strumenti di sviluppo e, in effetti, rispetta questa richiesta, ma non c'è modo di dire che lo fa effettivamente senza leggerlo.
- Gli utenti del generatore
Math.random ()
! Math.random ()
è un generatore di numeri casuali crittograficamente insicuro, che rende le password generate sorprendentemente prevedibili e in realtà molto meno numerose di quanto si sarebbe indotti a credere, ad esempio , se la tua implementazione di Math.random ()
ha solo 32 bit di stato, indipendentemente dalle impostazioni che utilizzi, possono essere generate solo 4 miliardi di password univoche, il che significa che qualsiasi numero di caratteri oltre 7 o così non ha senso. Un vero generatore di password casuali dovrebbe invece utilizzare la chiamata window.crypto.getRandomValues ()
, che ricava ogni singolo bit della password da una vera fonte di entropia da qualche parte nel computer .
- Anche il generatore di password è posizionato stranamente sulla pagina: il codice per il generatore stesso è ridotto a icona, ma il codice per configurarlo non lo è. Sembra quasi che l'autore del sito web abbia copiato il modulo password ridotto a icona da un'altra fonte, ad esempio un altro sito web.
- Il sito web tenta anche di utilizzare Google Ads per qualche strano motivo. In realtà non li richiama - ha solo una firma in basso per aggiungere l'ID Google Ads all'oggetto
window
- ma l'eventuale presenza di annunci effettivi comprometterà potenzialmente anche i dati inseriti nella pagina , anche se la pagina viene offerta tramite HTTPS.