Sikkerhedsguide

Er en online adgangskodegenerator sikker?

Forstå, hvornår en online adgangskodegenerator er sikker at bruge, hvad lokal browsergenerering betyder, og hvilke risici der stadig er til stede.

Resumé

En online adgangskodegenerator kan være sikker, når den genererer adgangskoder lokalt i browseren, bruger en kryptografisk tilfældighedskilde og ikke sender genererede værdier til en server. Den er ikke automatisk sikker, bare fordi siden er HTTPS eller ser professionel ud.

PwdGen er designet omkring lokal generering. Du kan læse metodologien og teste påstanden i din browsers netværkspanel.

Hvad “lokal generering” betyder

Lokal generering betyder, at adgangskoden vælges af kode, der kører i din browser. Websitet kan levere siden, men behøver ikke at modtage den genererede adgangskode. I PwdGen bruger generatoren Web Crypto, viser resultatet på siden og skriver kun til udklipsholderen, når du klikker på kopier.

Hvad du skal verificere

Åbn udviklerværktøjer, ryd netværkspanelet, generer og kopier derefter en adgangskode. Du bør ikke se Fetch-, XHR- eller Beacon-anmodninger, der indeholder den genererede værdi. Kontrollér også, at websitet forklarer sin tilfældighedskilde, ikke hævder umulige garantier og ikke beder dig om at oprette en konto bare for at generere en adgangskode.

Resterende risici

Lokal generering kan ikke beskytte mod en kompromitteret computer, ondsindet browserudvidelse, udklipsholderovervågning, skærmoptager, phishing-side eller usikker adgangskodeadministrator. Behandl den genererede værdi som en hemmelighed, så snart den vises.

Detaljeret vejledning

Denne guide fokuserer på at evaluere, om en online adgangskodegenerator er sikker at bruge. Den er skrevet til privatlivsbevidste brugere, der ønsker browserbekvemmelighed uden server-side håndtering af adgangskoder, så det praktiske mål er ikke at skabe et dramatisk sikkerhedskrav. Målet er at vælge en adgangskodevane, der kan overleve daglig brug: login-formularer, adgangskodeadministratorer, mobile tastaturer, kontogendannelse, delte enheder og lejlighedsvis en tjeneste med mærkelige valideringsregler. En sikker anbefaling er kun nyttig, hvis en rigtig person kan følge den konsekvent.

Det sikreste udgangspunkt er tilfældighed plus unikhed. Tilfældighed betyder, at værdien vælges fra et stort rum af en kryptografisk egnet tilfældighedskilde, ikke opfundet fra en fødselsdag, et kæledyrsnavn, et tastaturmønster eller et yndlingscitat. Unikhed betyder, at den samme adgangskode ikke bruges andre steder. En adgangskode, der er lang, men genbrugt, kan fejle hurtigt efter ét uafhængigt databrud, mens en unik tilfældig adgangskode begrænser skaden til den enkelte konto, hvor den blev brugt.

For dette emne er en praktisk forudindstilling browser-lokal generering med Web Crypto og ingen serverindsendelse af genererede værdier. Du kan anvende den forudindstilling med offline adgangskodegeneratoren og derefter gemme den endelige værdi i en betroet adgangskodeadministrator. PwdGen genererer værdier lokalt i browseren med Web Crypto; den genererede adgangskode sendes ikke til en PwdGen-server. Det lokale design reducerer server-side eksponering, men beskytter ikke mod alle trusler. En ondsindet browserudvidelse, en kompromitteret enhed, en phishing-side eller usikker udklipsholderhåndtering kan stadig afsløre en hemmelighed, efter den er genereret.

De mest almindelige problemer at undgå er server-genererede adgangskoder, tredjepartsscripts nær adgangskodefelter, invasiv analyse, kopierede kloner og browserudvidelser med sideadgang. Disse problemer betyder noget, fordi angribere sjældent behøver at brute-force alle mulige adgangskoder, når menneskelige vaner giver dem en genvej. Credential stuffing, phishing, lækkede adgangskodelister og misbrug af kontogendannelse er ofte mere realistiske end en ren matematisk søgning. Derfor kombinerer det bedste råd adgangskodekvalitet med kontoniveaukontroller såsom MFA, adgangsnøgler, opbevaring af gendannelseskoder og regelmæssig gennemgang af gendannelses-e-mail eller telefonindstillinger.

Brug denne tjekliste, når du anvender anbefalingen:

• Se efter en forklaring om lokal generering.
• Undgå værktøjer, der kræver en konto for grundlæggende generering.
• Tjek privatlivs- og metodologisider.
• Brug offline-tilstand ved håndtering af værdifulde legitimationsoplysninger.

Hvis et website afviser den ideelle indstilling, så tving ikke adgangskoden ind i et svagere mønster manuelt. Juster én variabel ad gangen. Hvis symboler afvises, behold store bogstaver, små bogstaver og tal aktiveret og øg længden. Hvis en maksimal længde er lav, brug den største accepterede længde og sørg for, at værdien er unik. Hvis en adgangskode skal læses højt, udskrives eller tastes på en tv- eller routerskærm, overvej at udelade forvirrende tegn og øg længden for at kompensere for det mindre alfabet.

Husk endelig grænsen for adgangskoderåd. En stærk adgangskode er ét lag af forsvar, ikke en garanti. Den kan ikke gøre en phishing-side sikker, fikse malware eller kompensere for en tjeneste, der opbevarer legitimationsoplysninger dårligt. Den nyttige vane er kedelig, men holdbar: generer en unik værdi, opbevar den sikkert, beskyt gendannelsesvejen, og udskift den hurtigt, hvis du har mistanke om eksponering.

Ofte stillede spørgsmål

Er en online generator sikker, hvis den kører lokalt?

Den kan være sikrere end server-side generering, fordi den genererede værdi ikke behøver at forlade browseren, men enheds- og browsertillid betyder stadig noget.

Hvad skal jeg tjekke, før jeg bruger en?

Se efter lokal generering, Web Crypto, ingen anmodninger med adgangskoder, en privatlivspolitik og klar metodologi.

Kan lokal generering beskytte mod malware?

Nej. Malware, ondsindede udvidelser, usikre udklipsholderadministratorer og phishing-sider er uden for en generators beskyttelsesgrænse.