Εργαλείο κωδικού πρόσβασης Επιστροφή στη δημιουργία

Οδηγός ασφαλείας

Υποστήριξη προγραμμάτων περιήγησης για τοπική δημιουργία κωδικών πρόσβασης

Μάθετε πώς λειτουργεί το PwdGen σε Chrome, Edge, Safari, Firefox και κινητά προγράμματα περιήγησης, και τι συμβαίνει αν το Web Crypto δεν είναι διαθέσιμο.

Σύνοψη

Το PwdGen είναι σχεδιασμένο για σύγχρονα προγράμματα περιήγησης που υποστηρίζουν το Web Crypto API. Η δημιουργία κωδικών πρόσβασης, η εκτίμηση ισχύος κωδικών, τα εργαλεία passphrase και οι τοπικές λειτουργίες εκτελούνται στο πρόγραμμα περιήγησης και όχι σε διακομιστή του PwdGen. Αυτός ο σχεδιασμός λειτουργεί σε Chrome, Edge, Safari, Firefox και σύγχρονα κινητά προγράμματα περιήγησης όταν είναι διαθέσιμο το crypto.getRandomValues().

Υποστήριξη Chrome

Το Chrome υποστηρίζει το Web Crypto σε ασφαλή περιβάλλοντα και είναι το κύριο πρόγραμμα περιήγησης που χρησιμοποιείται για ελέγχους ανάπτυξης του PwdGen. Το πακέτο επέκτασης Chrome ακολουθεί το ίδιο τοπικό μοντέλο: χωρίς απομακρυσμένα σενάρια, χωρίς δικαιώματα κεντρικού υπολογιστή και χωρίς αποθήκευση κωδικών πρόσβασης.

Υποστήριξη Edge

Το Microsoft Edge βασίζεται στο Chromium και υποστηρίζει τις ίδιες βασικές λειτουργίες Web Crypto που χρησιμοποιεί το PwdGen. Σε κανονική χρήση, οι χρήστες Edge μπορούν να δημιουργούν, να αντιγράφουν και να αξιολογούν κωδικούς πρόσβασης τοπικά με τον ίδιο τρόπο όπως οι χρήστες Chrome.

Υποστήριξη Safari

Το Safari υποστηρίζει Web Crypto σε σύγχρονες εκδόσεις macOS και iOS. Οι χρήστες Safari σε κινητά θα πρέπει να θυμούνται ότι οι αντιγραμμένοι κωδικοί πρόσβασης μπορεί να παραμείνουν στο πρόχειρο του συστήματος μέχρι να αντικατασταθούν, και θα πρέπει να χρησιμοποιείται το iCloud Keychain ή άλλος διαχειριστής κωδικών πρόσβασης για μακροπρόθεσμη αποθήκευση.

Υποστήριξη Firefox

Το Firefox υποστηρίζει crypto.getRandomValues() και μπορεί να εκτελέσει τη δημιουργία τοπικά. Ορισμένα αυτοματοποιημένα τοπικά περιβάλλοντα δοκιμών είχαν ζητήματα επαναφοράς σύνδεσης που δεν σχετίζονται με τη συμπεριφορά της σελίδας, επομένως η επαλήθευση παραγωγής εστιάζει στο API του προγράμματος περιήγησης και στο όριο απορρήτου και όχι σε ένα τοπικό περιβάλλον δοκιμών.

Υποστήριξη κινητών προγραμμάτων περιήγησης

Τα κινητά προγράμματα περιήγησης μπορούν να δημιουργήσουν ασφαλείς τυχαίους κωδικούς πρόσβασης εφόσον εκθέτουν το Web Crypto. Η διάταξη του PwdGen διατηρεί τα κουμπιά αρκετά μεγάλα για αλληλεπίδραση αφής και διατηρεί τους δημιουργημένους κωδικούς πρόσβασης από αριστερά προς τα δεξιά ακόμη και σε τοπικές ρυθμίσεις RTL.

Απαίτηση Web Crypto

Το PwdGen απαιτεί μια κρυπτογραφική τυχαία πηγή. Η γεννήτρια ζητά τυχαία bytes από crypto.getRandomValues() και τα αντιστοιχίζει σε επιλογές χαρακτήρων με δειγματοληψία απόρριψης. Αυτό αποφεύγει τη χρήση Math.random(), το οποίο δεν προορίζεται για χρήση ευαίσθητη σε θέματα ασφάλειας.

Αν το Web Crypto δεν είναι διαθέσιμο

Το PwdGen αποτυγχάνει κλειστά. Η σελίδα παραμένει αναγνώσιμη, αλλά τα χειριστήρια κωδικών πρόσβασης απενεργοποιούνται και εμφανίζεται μια προειδοποίηση που εξηγεί ότι η ασφαλής δημιουργία απαιτεί σύγχρονο πρόγραμμα περιήγησης. Είναι καλύτερο να μην εμφανίζεται κανένας δημιουργημένος κωδικός πρόσβασης παρά να δημιουργούνται σιωπηλά αδύναμα διαπιστευτήρια.

Δήλωση τοπικής δημιουργίας

Η δημιουργία και ο έλεγχος εκτελούνται στο πρόγραμμα περιήγησης. Το PwdGen δεν ανεβάζει δημιουργημένους κωδικούς πρόσβασης, υπάρχοντες κωδικούς πρόσβασης που εισάγονται στον έλεγχο, passphrases ή εξαγόμενες τιμές. Η τοπική δημιουργία δεν μπορεί να προστατεύσει μια παραβιασμένη συσκευή, κακόβουλη επέκταση, μη ασφαλές πρόχειρο, σελίδα phishing ή υπηρεσία προορισμού με αδύναμη αποθήκευση κωδικών πρόσβασης.

Για λεπτομέρειες υλοποίησης, διαβάστε τη μεθοδολογία ασφάλειας και τη λευκή βίβλο δημιουργίας κωδικών πρόσβασης από την πλευρά του πελάτη.

Συχνές ερωτήσεις

Ποια προγράμματα περιήγησης υποστηρίζει το PwdGen;

Το PwdGen είναι σχεδιασμένο για σύγχρονες εκδόσεις Chrome, Edge, Safari, Firefox και τρέχοντα κινητά προγράμματα περιήγησης που εκθέτουν το Web Crypto API.

Τι συμβαίνει αν το Web Crypto δεν είναι διαθέσιμο;

Τα χειριστήρια κωδικών πρόσβασης απενεργοποιούνται και εμφανίζεται μια προειδοποίηση συμβατότητας. Το PwdGen δεν κάνει εναλλακτική χρήση του Math.random() για δημιουργία κωδικών πρόσβασης.

Η υποστήριξη προγραμμάτων περιήγησης αλλάζει το μοντέλο απορρήτου;

Όχι. Σε υποστηριζόμενα προγράμματα περιήγησης, η δημιουργία και η αξιολόγηση εκτελούνται τοπικά. Τα κύρια όρια απορρήτου είναι η συσκευή, οι επεκτάσεις προγράμματος περιήγησης, το πρόχειρο και η υπηρεσία προορισμού.

Πηγές