Οδηγός ασφαλείας

Είναι ασφαλής ένας διαδικτυακός γεννήτρια κωδικών πρόσβασης;

Κατανοήστε πότε ένας διαδικτυακός γεννήτρια κωδικών πρόσβασης είναι ασφαλής στη χρήση, τι σημαίνει η τοπική δημιουργία στο πρόγραμμα περιήγησης και ποιοι κίνδυνοι παραμένουν.

Σύνοψη

Ένας διαδικτυακός γεννήτρια κωδικών πρόσβασης μπορεί να είναι ασφαλής όταν δημιουργεί κωδικούς τοπικά στο πρόγραμμα περιήγησης, χρησιμοποιεί κρυπτογραφική τυχαία πηγή και δεν στέλνει τις παραγόμενες τιμές σε διακομιστή. Δεν είναι αυτόματα ασφαλής απλώς επειδή η σελίδα είναι HTTPS ή φαίνεται επαγγελματική.

Το PwdGen είναι σχεδιασμένο γύρω από την τοπική δημιουργία. Μπορείτε να διαβάσετε τη μεθοδολογία και να ελέγξετε τον ισχυρισμό στο πάνελ δικτύου του προγράμματός σας.

Τι σημαίνει «τοπική δημιουργία»

Τοπική δημιουργία σημαίνει ότι ο κωδικός πρόσβασης επιλέγεται από κώδικα που εκτελείται στο πρόγραμμα περιήγησής σας. Ο ιστότοπος μπορεί να παραδώσει τη σελίδα, αλλά δεν χρειάζεται να λάβει τον παραγόμενο κωδικό. Στο PwdGen, ο γεννήτρια χρησιμοποιεί Web Crypto, εμφανίζει το αποτέλεσμα στη σελίδα και γράφει στο πρόχειρο μόνο όταν κάνετε κλικ στην αντιγραφή.

Τι να ελέγξετε

Ανοίξτε τα εργαλεία προγραμματιστή, καθαρίστε το πάνελ δικτύου, στη συνέχεια αναδημιουργήστε και αντιγράψτε έναν κωδικό. Δεν θα πρέπει να δείτε αιτήματα Fetch, XHR ή Beacon που περιέχουν την παραγόμενη τιμή. Ελέγξτε επίσης ότι ο ιστότοπος εξηγεί την πηγή τυχαιότητάς του, δεν ισχυρίζεται αδύνατες εγγυήσεις και δεν σας ζητά να δημιουργήσετε λογαριασμό μόνο για να δημιουργήσετε έναν κωδικό.

Υπόλοιποι κίνδυνοι

Η τοπική δημιουργία δεν μπορεί να προστατεύσει έναν παραβιασμένο υπολογιστή, κακόβουλη επέκταση προγράμματος περιήγησης, παρακολούθηση προχείρου, καταγραφή οθόνης, σελίδα phishing ή μη ασφαλή διαχειριστή κωδικών. Αντιμετωπίστε την παραγόμενη τιμή ως μυστικό μόλις εμφανιστεί.

Λεπτομερής καθοδήγηση

Αυτός ο οδηγός επικεντρώνεται στην αξιολόγηση του αν ένας διαδικτυακός γεννήτρια κωδικών πρόσβασης είναι ασφαλής στη χρήση. Είναι γραμμένος για χρήστες που ενδιαφέρονται για την ιδιωτικότητα και θέλουν την ευκολία του προγράμματος περιήγησης χωρίς διαχείριση κωδικών από την πλευρά του διακομιστή, οπότε ο πρακτικός στόχος δεν είναι να δημιουργηθεί ένας δραματικός ισχυρισμός ασφαλείας. Ο στόχος είναι να επιλέξετε μια συνήθεια κωδικών που μπορεί να επιβιώσει στην καθημερινή χρήση: φόρμες σύνδεσης, διαχειριστές κωδικών, πληκτρολόγια κινητών, ανάκτηση λογαριασμού, κοινόχρηστες συσκευές και την περιστασιακή υπηρεσία με περίεργους κανόνες επικύρωσης. Μια ασφαλής σύσταση είναι χρήσιμη μόνο αν ένα πραγματικό άτομο μπορεί να την ακολουθήσει με συνέπεια.

Το ασφαλέστερο σημείο εκκίνησης είναι η τυχαιότητα συν η μοναδικότητα. Τυχαιότητα σημαίνει ότι η τιμή επιλέγεται από ένα μεγάλο χώρο από μια κρυπτογραφικά κατάλληλη τυχαία πηγή, όχι επινοημένη από ένα γενέθλιο, ένα όνομα κατοικίδιου, ένα μοτίβο πληκτρολογίου ή μια αγαπημένη φράση. Μοναδικότητα σημαίνει ότι ο ίδιος κωδικός δεν χρησιμοποιείται πουθενά αλλού. Ένας κωδικός που είναι μακρύς αλλά επαναχρησιμοποιείται μπορεί να αποτύχει γρήγορα μετά από μια άσχετη παραβίαση, ενώ ένας μοναδικός τυχαίος κωδικός περιορίζει τη ζημιά στον μοναδικό λογαριασμό όπου χρησιμοποιήθηκε.

Για αυτό το θέμα, μια πρακτική προεπιλογή είναι η τοπική δημιουργία στο πρόγραμμα περιήγησης με Web Crypto και χωρίς υποβολή των παραγόμενων τιμών σε διακομιστή. Μπορείτε να εφαρμόσετε αυτήν την προεπιλογή με τον offline γεννήτρια κωδικών πρόσβασης και στη συνέχεια να αποθηκεύσετε την τελική τιμή σε έναν αξιόπιστο διαχειριστή κωδικών. Το PwdGen δημιουργεί τιμές τοπικά στο πρόγραμμα περιήγησης με Web Crypto· ο παραγόμενος κωδικός δεν αποστέλλεται σε διακομιστή του PwdGen. Αυτός ο τοπικός σχεδιασμός μειώνει την έκθεση στην πλευρά του διακομιστή, αλλά δεν προστατεύει από κάθε απειλή. Μια κακόβουλη επέκταση προγράμματος περιήγησης, μια παραβιασμένη συσκευή, μια σελίδα phishing ή μη ασφαλής διαχείριση προχείρου μπορεί να εκθέσει ένα μυστικό αφού δημιουργηθεί.

Τα πιο συνηθισμένα προβλήματα που πρέπει να αποφύγετε είναι οι κωδικοί που δημιουργούνται από διακομιστή, τα σενάρια τρίτων κοντά σε πεδία κωδικών, η παρεμβατική ανάλυση, τα αντίγραφα κλώνων και οι επεκτάσεις προγράμματος περιήγησης με πρόσβαση στη σελίδα. Αυτά τα προβλήματα έχουν σημασία επειδή οι επιτιθέμενοι σπάνια χρειάζεται να δοκιμάσουν όλους τους πιθανούς κωδικούς με ωμή βία όταν οι ανθρώπινες συνήθειες τους δίνουν μια συντόμευση. Η γέμιση διαπιστευτηρίων, το phishing, οι λίστες διαρροής κωδικών και η κατάχρηση ανάκτησης λογαριασμού είναι συχνά πιο ρεαλιστικά από μια καθαρή μαθηματική αναζήτηση. Γι’ αυτό η καλύτερη συμβουλή συνδυάζει την ποιότητα του κωδικού με ελέγχους σε επίπεδο λογαριασμού, όπως MFA, κλειδιά πρόσβασης, αποθήκευση κωδικών ανάκτησης και τακτικό έλεγχο των ρυθμίσεων email ή τηλεφώνου ανάκτησης.

Χρησιμοποιήστε αυτήν τη λίστα ελέγχου όταν εφαρμόζετε τη σύσταση:

• Αναζητήστε μια εξήγηση τοπικής δημιουργίας.
• Αποφύγετε εργαλεία που απαιτούν λογαριασμό για βασική δημιουργία.
• Ελέγξτε τις σελίδες απορρήτου και μεθοδολογίας.
• Χρησιμοποιήστε λειτουργία εκτός σύνδεσης όταν χειρίζεστε διαπιστευτήρια υψηλής αξίας.

Εάν ένας ιστότοπος απορρίπτει την ιδανική ρύθμιση, μην αναγκάσετε τον κωδικό σε ένα πιο αδύναμο μοτίβο χειροκίνητα. Προσαρμόστε μία μεταβλητή τη φορά. Εάν τα σύμβολα απορρίπτονται, κρατήστε κεφαλαία, πεζά και αριθμούς ενεργοποιημένα και αυξήστε το μήκος. Εάν το μέγιστο μήκος είναι μικρό, χρησιμοποιήστε το μεγαλύτερο αποδεκτό μήκος και βεβαιωθείτε ότι η τιμή είναι μοναδική. Εάν ένας κωδικός πρέπει να διαβαστεί δυνατά, να εκτυπωθεί ή να πληκτρολογηθεί σε οθόνη τηλεόρασης ή δρομολογητή, σκεφτείτε να εξαιρέσετε συγκεχυμένους χαρακτήρες και να αυξήσετε το μήκος για να αντισταθμίσετε το μικρότερο αλφάβητο.

Τέλος, θυμηθείτε τα όρια της συμβουλής για κωδικούς. Ένας ισχυρός κωδικός είναι ένα επίπεδο άμυνας, όχι εγγύηση. Δεν μπορεί να κάνει μια σελίδα phishing ασφαλή, να διορθώσει κακόβουλο λογισμικό ή να αντισταθμίσει μια υπηρεσία που αποθηκεύει διαπιστευτήρια με κακό τρόπο. Η χρήσιμη συνήθεια είναι βαρετή αλλά ανθεκτική: δημιουργήστε μια μοναδική τιμή, αποθηκεύστε την με ασφάλεια, προστατέψτε τη διαδρομή ανάκτησης και αντικαταστήστε την γρήγορα αν υποψιάζεστε έκθεση.

Συχνές ερωτήσεις

Είναι ασφαλής ένας διαδικτυακός γεννήτρια αν λειτουργεί τοπικά;

Μπορεί να είναι ασφαλέστερος από τη δημιουργία από την πλευρά του διακομιστή, επειδή η παραγόμενη τιμή δεν χρειάζεται να φύγει από το πρόγραμμα περιήγησης, αλλά η εμπιστοσύνη στη συσκευή και το πρόγραμμα περιήγησης εξακολουθεί να έχει σημασία.

Τι πρέπει να ελέγξω πριν χρησιμοποιήσω έναν;

Αναζητήστε τοπική δημιουργία, Web Crypto, αιτήματα χωρίς κωδικούς, πολιτική απορρήτου και σαφή μεθοδολογία.

Μπορεί η τοπική δημιουργία να προστατεύσει από κακόβουλο λογισμικό;

Όχι. Το κακόβουλο λογισμικό, οι κακόβουλες επεκτάσεις, οι μη ασφαλείς διαχειριστές προχείρου και οι σελίδες phishing είναι εκτός των ορίων προστασίας ενός γεννήτρια.