أداة كلمات المرور العودة إلى المولد

دليل الأمان

دعم المتصفح لتوليد كلمات المرور محليًا

تعرف على كيفية عمل PwdGen في Chrome وEdge وSafari وFirefox والمتصفحات المحمولة، وماذا يحدث إذا كان Web Crypto غير متوفر.

ملخص

تم تصميم PwdGen للمتصفحات الحديثة التي تدعم Web Crypto API. يتم تشغيل توليد كلمات المرور وتقدير قوتها وأدوات العبارات السرية والأدوات المحلية في المتصفح بدلاً من خادم PwdGen. يعمل هذا التصميم عبر Chrome وEdge وSafari وFirefox والمتصفحات المحمولة الحالية عندما يكون crypto.getRandomValues() متوفرًا.

دعم Chrome

يدعم Chrome Web Crypto في السياقات الآمنة وهو المتصفح الأساسي المستخدم لفحوصات تطوير PwdGen. تتبع حزمة إضافة Chrome نفس النموذج المحلي فقط: لا نصوص برمجية عن بُعد، ولا أذونات مضيف، ولا تخزين لكلمات المرور.

دعم Edge

يعتمد Microsoft Edge على Chromium ويدعم نفس أساسيات Web Crypto التي يستخدمها PwdGen. في الاستخدام العادي، يمكن لمستخدمي Edge توليد ونسخ وتقييم كلمات المرور محليًا بنفس طريقة مستخدمي Chrome.

دعم Safari

يدعم Safari Web Crypto على إصدارات macOS و iOS الحديثة. يجب أن يتذكر مستخدمو Safari المحمول أن كلمات المرور المنسوخة قد تبقى في الحافظة النظامية حتى يتم استبدالها، ويجب استخدام iCloud Keychain أو مدير كلمات مرور آخر للتخزين طويل الأمد.

دعم Firefox

يدعم Firefox crypto.getRandomValues() ويمكنه تشغيل المولد محليًا. واجهت بعض بيئات الاختبار المحلية الآلية مشكلات في إعادة تعيين الاتصال غير المرتبطة بسلوك الصفحة، لذا يركز التحقق الإنتاجي على واجهة برمجة التطبيقات للمتصفح وحدود الخصوصية بدلاً من بيئة اختبار محلية واحدة.

دعم المتصفح المحمول

يمكن للمتصفحات المحمولة توليد كلمات مرور عشوائية آمنة طالما أنها توفر Web Crypto. يحافظ تخطيط PwdGen على الأزرار كبيرة بما يكفي للتفاعل باللمس ويبقي كلمات المرور المولدة من اليسار إلى اليمين حتى في الإعدادات المحلية RTL.

متطلبات Web Crypto

يتطلب PwdGen مصدرًا عشوائيًا تشفيريًا. يطلب المولد بايتات عشوائية من crypto.getRandomValues() ويُسقطها على اختيارات الأحرف باستخدام أخذ العينات بالرفض. يتجنب ذلك استخدام Math.random()، الذي لم يُحدد للاستخدام الحساس أمنيًا.

إذا كان Web Crypto غير متوفر

يفشل PwdGen بشكل مغلق. تظل الصفحة قابلة للقراءة، ولكن يتم تعطيل عناصر التحكم في كلمة المرور ويظهر تحذير يوضح أن التوليد الآمن يتطلب متصفحًا حديثًا. من الأفضل عدم عرض كلمة مرور مولدة بدلاً من إنشاء بيانات اعتماد ضعيفة بصمت.

بيان التوليد المحلي فقط

يتم تشغيل التوليد والفحص في المتصفح. لا يقوم PwdGen بتحميل كلمات المرور المولدة أو كلمات المرور الحالية المدخلة في المدقق أو العبارات السرية أو القيم المصدرة. لا يمكن للتوليد المحلي حماية جهاز مخترق أو إضافة متصفح ضارة أو حافظة غير آمنة أو صفحة تصيد أو خدمة وجهة ذات تخزين ضعيف لكلمات المرور.

للحصول على تفاصيل التنفيذ، اقرأ منهجية الأمان و ورقة بيضاء حول توليد كلمات المرور من جانب العميل.

الأسئلة المتكررة

ما المتصفحات التي يدعمها PwdGen؟

تم تصميم PwdGen للإصدارات الحديثة من Chrome وEdge وSafari وFirefox والمتصفحات المحمولة الحالية التي توفر Web Crypto API.

ماذا يحدث إذا كان Web Crypto غير متوفر؟

يتم تعطيل عناصر التحكم في كلمة المرور ويظهر تحذير توافق. لا يتراجع PwdGen إلى Math.random() لتوليد كلمة المرور.

هل يغير دعم المتصفح نموذج الخصوصية؟

لا. في المتصفحات المدعومة، يتم تشغيل التوليد والتقييم محليًا. حدود الخصوصية الرئيسية هي الجهاز وإضافات المتصفح والحافظة وخدمة الوجهة.

المصادر