Sicherheitsleitfaden
Browser-Unterstützung für lokale Passwortgenerierung
Erfahren Sie, wie PwdGen in Chrome, Edge, Safari, Firefox und mobilen Browsern funktioniert und was passiert, wenn Web Crypto nicht verfügbar ist.
Zusammenfassung
PwdGen ist für moderne Browser entwickelt, die die Web Crypto API unterstützen. Passwortgenerierung, Passwortstärkeschätzung, Passphrase-Tools und lokale Dienstprogramme laufen im Browser und nicht auf einem PwdGen-Server. Dieses Design funktioniert in Chrome, Edge, Safari, Firefox und aktuellen mobilen Browsern, wenn crypto.getRandomValues() verfügbar ist.
Chrome-Unterstützung
Chrome unterstützt Web Crypto in sicheren Kontexten und ist der primäre Browser, der für PwdGen-Entwicklungsprüfungen verwendet wird. Das Chrome-Erweiterungspaket folgt demselben rein lokalen Modell: keine Remote-Skripte, keine Host-Berechtigungen und keine Passwortspeicherung.
Edge-Unterstützung
Microsoft Edge basiert auf Chromium und unterstützt dieselben Web Crypto-Primitive, die von PwdGen verwendet werden. Bei normaler Nutzung können Edge-Benutzer Passwörter lokal generieren, kopieren und bewerten, genau wie Chrome-Benutzer.
Safari-Unterstützung
Safari unterstützt Web Crypto auf modernen macOS- und iOS-Versionen. Mobile Safari-Benutzer sollten beachten, dass kopierte Passwörter bis zum Ersetzen in der System-Zwischenablage verbleiben können, und iCloud Keychain oder ein anderer Passwort-Manager sollte für die langfristige Speicherung verwendet werden.
Firefox-Unterstützung
Firefox unterstützt crypto.getRandomValues() und kann den Generator lokal ausführen. Einige automatisierte lokale Testumgebungen hatten Verbindungsabbrüche, die nichts mit dem Seitenverhalten zu tun hatten, daher konzentriert sich die Produktionsverifizierung auf die Browser-API und die Datenschutzgrenze und nicht auf eine einzelne lokale Testumgebung.
Unterstützung mobiler Browser
Mobile Browser können sichere zufällige Passwörter generieren, solange sie Web Crypto bereitstellen. Das PwdGen-Layout hält die Schaltflächen groß genug für Touch-Interaktionen und behält generierte Passwörter von links nach rechts bei, selbst in RTL-Gebietsschemata.
Web Crypto-Anforderung
PwdGen benötigt eine kryptografische Zufallsquelle. Der Generator fordert zufällige Bytes von crypto.getRandomValues() an und ordnet sie mit Zurückweisungsabtastung Zeichenauswahlen zu. Dies vermeidet die Verwendung von Math.random(), das nicht für sicherheitskritische Anwendungen spezifiziert ist.
Wenn Web Crypto nicht verfügbar ist
PwdGen schlägt fehl und bleibt sicher. Die Seite bleibt lesbar, aber die Passwortsteuerungen sind deaktiviert, und eine Warnung erklärt, dass die sichere Generierung einen modernen Browser erfordert. Es ist besser, kein generiertes Passwort anzuzeigen, als stillschweigend schwache Anmeldeinformationen zu erstellen.
Erklärung zur rein lokalen Generierung
Generierung und Prüfung laufen im Browser. PwdGen lädt keine generierten Passwörter, vorhandenen Passwörter, die in den Prüfer eingegeben wurden, Passphrasen oder exportierten Werte hoch. Die lokale Generierung kann ein kompromittiertes Gerät, bösartige Erweiterungen, unsichere Zwischenablage, Phishing-Seiten oder Zieldienste mit schwachem Passwortspeicher nicht schützen.
Implementierungsdetails finden Sie in der Sicherheitsmethodik und im Whitepaper zur clientseitigen Passwortgenerierung.
Häufig gestellte Fragen
Welche Browser unterstützt PwdGen?
PwdGen ist für moderne Versionen von Chrome, Edge, Safari, Firefox und aktuelle mobile Browser konzipiert, die die Web Crypto API bereitstellen.
Was passiert, wenn Web Crypto nicht verfügbar ist?
Die Passwortsteuerungen werden deaktiviert, und eine Kompatibilitätswarnung wird angezeigt. PwdGen greift nicht auf Math.random() für die Passwortgenerierung zurück.
Ändert die Browserunterstützung das Datenschutzmodell?
Nein. In unterstützten Browsern laufen Generierung und Bewertung lokal. Die wichtigsten Datenschutzgrenzen sind das Gerät, Browsererweiterungen, die Zwischenablage und der Zieldienst.