El top está en el código js de la página:
HSIMP.commonPasswords=["password","123456","12345678","1234","qwerty","12345","dragon","pussy","baseball","football",
"letmein","monkey","696969","abc123","mustang", y sigue.
Y con un vistazo rápido desde el inspector de Chrome creo que no hace ningún envío de la información que se introduce..
It would take a desktop PC about
333 thousand years
to crack your password
SHOW DETAILS
Madre mia xD
It would take a desktop PC about 63 million years to crack your password
Your password only contains numbers and letters. Adding a symbol can make your password more secure. Don't forget you can often use spaces in passwords.
Length: Long
Your password is over 16 characters long. It should be pretty safe.
#92 Pero vamos a ver... para probar si una contraseña funciona tendrás que lanzarla contra algún nombre de usuario/correo electrónico. Ahora dime: ¿Para qué nombre de usuario/correo es válida esa contraseña? Pues eso, es virtualmente imposible saberlo.
Lo que tú sugieres es tan absurdo como encontrarse una llave tirada en medio de la calle y ponerse a probar en todas las puertas, candados, buzones, etc. del mundo
It would take a desktop PC about 5 hours to crack your password
Aqui mucha gente parece que usa 10431094821490 millones de caracteres para sus cuentas,pero luego segura que usan password123 para todo
#111 Podria haberse descubierto una nueva vulnerabilidad en algun navegador. Yo me quedo mas tranquilo metiendo mi contraseña solo en sitios que conozco, y aunque no sea un ataque tampoco iba a ayudar a nadie a meter mi contraseña en un diccionario. Creo que es norma basica en temas de seguridad informatica a nivel de proteccion del usuario... pero nada, si quieres prueba a meter tu cuenta bancaria tambien.
#87 Jajajajajja, pues no está entre esas, creo que me ha tangao 
De todas formas voy a cambiarla ahora, cabrones, que no me fui un pelo!
#112 Si bueno, ahora por introducir unos caracteres en un input box te van a sacar las sesiones que tienes abiertas en tu explorador jajaja xD Muy poco hay que saber de seguridad y desarrollo web para creer que algo así es posible xD
Tan solo un MITM podría hacer algo así, habiendo previamente hackeado su target. Vamos, que no podría hacerse como un ataque masivo sino como algo dirigido a un solo cliente. Y sería más facil usar un keylogger que montarse toda esa inútil paja mental de crear una wordlist en base a lo que escribe gente random de la que no conocemos nada.
#113 Eso es otra pollada como un templo. La probabilidad de que la base de datos con la que esté trabajando ese tío tenga el username que se corresponde con un password de la wordlist que supuestamente está generando a partir de la gente que mete ahí passwords es ridículamente baja; despreciable de hecho. Sobre todo por el hecho de que la mayoría de las personas que han introducido ahí un password fuerte no tendrán publicada su dirección de correo en ningún sitio, por lo que no estará en ninguna base de datos de listas de correos. Además: quién te dice que esa password sea de un correo y no de un foro cualquiera, un banco, una plataforma como steam o vete tu a saber.
Es más, de llegar a reventar alguna cuenta sería simplemente por tener un password débil y no por haber combinado la wordlist contra la base de datos de usernames.
PS: os vale cualquier excusa con tal de no admitir que un password sin su user asociado es INÚTIL. Quien tiene cierto reparo en poner ahí una contraseña es por no saber cómo funcionan estas cosas, simplemente.
planetasandwich13 es una contraseña mía de una cuenta de algo. Lo publico aquí para que algún "hacker" me quite alguna cuenta o el dinero del banco o algo. Además mi ip se podrá ver ya que posteo desde casa, y tenéis hasta mi cuenta de mediavida. Ale, hf.
#115 claro claro, y la IP de tu proveedor de internet (la que NO cambia) tampoco es para tenerlo en cuenta no?
Pero vaya que no voy a entrar más en discutir sobre esto, que sí, que es muy difícil que te pillen alguna cuenta tuya a la que poder asociar una contraseña, pero hay que tener muy pocas luces para ir introduciendo por ahí tu contraseña "más segura" (paypal, correos importantes, etc.) en una web que no conoces de una puta mierda sólo para ver si realmente es segura.
Pues si lo era ya no.
#116 seguro que es de algo muy importante como para que vengas posteándola aquí.
Venga posteo yo también una mía: 1234, es de algo, encontrad de qué. GL HF 
#118 No se a qué te refieres con la ip de mi proveedor; supongo que te refieres a la IP del ISP.
Cada cliente en internet tiene una ip pública única que puede ser fija o dinámica, según lo que te asigne tu proveedor de internet. Para lo único que serviría tener la IP de un cliente es para fijar un target de ataque.
En cuanto a la ip del ISP no se para qué la querrías en este caso. No mezcles temas porque los ataques con un target único como los que pueda hacer un un MITM no tienen absolutamente nada que ver con crear una wordlist y relacionarla con bases de datos de correos/nombres de usuario.
En cuanto a lo de introducir ahí passwords vuelvo a repetir lo mismo: de nada sirve tener un password si no tienes un nombre de cuenta asociado a la misma, nombres de cuenta que además no vas a encontrar en ninguna base de datos pública porque no están publicados.
Voy a dejar el tema ya porque es tan simple que quien quiera entenderlo lo va a entender y repetir en 30 post lo mismo no va servir de nada.
#119 el caso es que si llegado el momento hacen un ataque a la lista de cuentas de alguna plataforma (blizzard, paypal, whatever), consiguen sacar los usuarios y/o emails, y gracias a esta web consiguen sacar X miles de contraseñas, directamente harán una comparación en 0,2 segundos para ver si alguna coincide. Que no? Pues mala suerte. Que sí? Pues eso que han ganao.
