Turvallisuusopas

Onko online-salasanageneraattori turvallinen?

Ymmärrä, milloin online-salasanageneraattoria on turvallista käyttää, mitä paikallinen selaimessa tapahtuva generointi tarkoittaa ja mitkä riskit jäävät jäljelle.

Yhteenveto

Online-salasanageneraattori voi olla turvallinen, kun se tuottaa salasanat paikallisesti selaimessa, käyttää kryptografista satunnaislähdettä eikä lähetä tuotettuja arvoja palvelimelle. Se ei ole automaattisesti turvallinen pelkästään siksi, että sivu on HTTPS tai näyttää ammattimaiselta.

PwdGen on suunniteltu paikalliseen generointiin. Voit lukea metodologian ja testata väitettä selaimen verkkopaneelissa.

Mitä “paikallinen generointi” tarkoittaa

Paikallinen generointi tarkoittaa, että salasana valitaan selaimessasi suoritettavan koodin avulla. Verkkosivusto voi toimittaa sivun, mutta sen ei tarvitse vastaanottaa luotua salasanaa. PwdGenissä generaattori käyttää Web Cryptoa, näyttää tuloksen sivulla ja kirjoittaa leikepöydälle vasta, kun napsautat kopioi.

Mitä tarkistaa

Avaa kehittäjätyökalut, tyhjennä Verkko-paneeli, generoi ja kopioi salasana. Sinun ei pitäisi nähdä Fetch-, XHR- tai Beacon-pyyntöjä, jotka sisältävät luodun arvon. Tarkista myös, että sivusto selittää satunnaislähteensä, ei väitä mahdottomia takuita eikä pyydä luomaan tiliä vain salasanan generointia varten.

Jäljellä olevat riskit

Paikallinen generointi ei voi suojata vaarantunutta tietokonetta, haitallista selainlaajennusta, leikepöydän valvontaa, näytön tallennusta, tietojenkalastelusivua tai epäturvallista salasananhallintaa. Käsittele luotua arvoa salaisuutena heti, kun se ilmestyy.

Yksityiskohtainen opastus

Tämä opas keskittyy arvioimaan, onko online-salasanageneraattoria turvallista käyttää. Se on kirjoitettu yksityisyystietoisille käyttäjille, jotka haluavat selaimen mukavuutta ilman palvelinpuolen salasanakäsittelyä, joten käytännön tavoite ei ole luoda dramaattista turvallisuusväitettä. Tavoite on valita salasanatapa, joka kestää jokapäiväistä käyttöä: kirjautumislomakkeet, salasananhallintaohjelmat, mobiilinäppäimistöt, tilin palautus, jaetut laitteet ja satunnaiset palvelut, joilla on outoja validointisääntöjä. Turvallinen suositus on hyödyllinen vain, jos oikea henkilö voi noudattaa sitä johdonmukaisesti.

Turvallisin lähtökohta on satunnaisuus plus ainutlaatuisuus. Satunnaisuus tarkoittaa, että arvo valitaan suuresta avaruudesta kryptografisesti sopivalla satunnaislähteellä, ei keksitty syntymäpäivästä, lemmikin nimestä, näppäimistökuviosta tai suosikkilainauksesta. Ainutlaatuisuus tarkoittaa, että samaa salasanaa ei käytetä missään muualla. Pitkä mutta uudelleenkäytetty salasana voi pettää nopeasti yhden toisiinsa liittymättömän tietomurron jälkeen, kun taas ainutlaatuinen satunnainen salasana rajoittaa vahingon siihen yhteen tiliin, jossa sitä käytettiin.

Tässä aiheessa käytännöllinen esiasetus on selaimen paikallinen generointi Web Cryptolla ilman luotujen arvojen lähettämistä palvelimelle. Voit soveltaa tätä esiasetusta offline-salasanageneraattorilla ja tallentaa lopullisen arvon luotettuun salasananhallintaan. PwdGen tuottaa arvot paikallisesti selaimessa Web Cryptolla; luotua salasanaa ei lähetetä PwdGen-palvelimelle. Tämä paikallinen suunnittelu vähentää palvelinpuolen altistumista, mutta se ei suojaa kaikilta uhilta. Haitallinen selainlaajennus, vaarantunut laite, tietojenkalastelusivu tai epäturvallinen leikepöydän käsittely voi silti paljastaa salaisuuden sen luomisen jälkeen.

Yleisimmät vältettävät ongelmat ovat palvelimen tuottamat salasanat, kolmannen osapuolen skriptit salasanakenttien lähellä, tunkeileva analytiikka, kopioidut klonit ja selainlaajennukset, joilla on sivun käyttöoikeus. Nämä ongelmat ovat tärkeitä, koska hyökkääjät harvoin tarvitsevat raa’alla voimalla kokeilla jokaista mahdollista salasanaa, kun ihmisten tavat antavat heille oikotien. Tunnusten täyttö, tietojenkalastelu, vuotaneet salasanalistat ja tilin palautuksen väärinkäyttö ovat usein realistisempia kuin puhdas matemaattinen haku. Siksi paras neuvo yhdistää salasanan laadun tilikohtaisiin hallintakeinoihin, kuten MFA, passkeys, palautuskoodien tallennus ja palautussähköpostin tai puhelinnumeron asetusten säännöllinen tarkistus.

Käytä tätä tarkistuslistaa suositusta soveltaessasi:

• Etsi paikallisen generoinnin selitys.
• Vältä työkaluja, jotka vaativat tilin perusgenerointia varten.
• Tarkista tietosuoja- ja metodologiasivut.
• Käytä offline-tilaa käsitellessäsi korkean arvon tunnistetietoja.

Jos verkkosivusto hylkää ihanteellisen asetuksen, älä pakota salasanaa heikompaan malliin käsin. Säädä yhtä muuttujaa kerrallaan. Jos symbolit hylätään, pidä isot kirjaimet, pienet kirjaimet ja numerot käytössä ja lisää pituutta. Jos enimmäispituus on pieni, käytä suurinta hyväksyttyä pituutta ja varmista, että arvo on ainutlaatuinen. Jos salasana on luettava ääneen, tulostettava tai kirjoitettava television tai reitittimen näytöllä, harkitse hämmentävien merkkien poissulkemista ja pituuden lisäämistä kompensoimaan pienempää aakkostoa.

Lopuksi muista salasananeuvonnan rajat. Vahva salasana on yksi suojakerros, ei takuu. Se ei voi tehdä tietojenkalastelusivusta turvallista, korjata haittaohjelmaa tai korvata palvelua, joka tallentaa tunnistetiedot huonosti. Hyödyllinen tapa on tylsä mutta kestävä: generoi ainutlaatuinen arvo, tallenna se turvallisesti, suojaa palautuspolku ja vaihda se nopeasti, jos epäilet altistumista.

Usein kysytyt kysymykset

Onko online-generaattori turvallinen, jos se toimii paikallisesti?

Se voi olla turvallisempi kuin palvelinpuolen generointi, koska luotu arvo ei tarvitse poistua selaimesta, mutta laitteen ja selaimen luotettavuus on silti tärkeää.

Mitä minun pitäisi tarkistaa ennen käyttöä?

Etsi paikallista generointia, Web Cryptoa, salasanaa sisältämättömiä pyyntöjä, tietosuojakäytäntöä ja selkeää metodologiaa.

Voiko paikallinen generointi suojata haittaohjelmilta?

Ei. Haittaohjelmat, haitalliset laajennukset, epäturvalliset leikepöydän hallintaohjelmat ja tietojenkalastelusivut ovat generaattorin suojauksen ulkopuolella.