Guide de sécurité
Prise en charge des navigateurs pour la génération locale de mots de passe
Découvrez comment PwdGen fonctionne dans Chrome, Edge, Safari, Firefox et les navigateurs mobiles, et ce qui se passe si Web Crypto n'est pas disponible.
Résumé
PwdGen est conçu pour les navigateurs modernes prenant en charge l’API Web Crypto. La génération de mots de passe, l’estimation de leur force, les outils de phrases de passe et les utilitaires locaux s’exécutent dans le navigateur plutôt que sur un serveur PwdGen. Cette conception fonctionne dans Chrome, Edge, Safari, Firefox et les navigateurs mobiles actuels lorsque crypto.getRandomValues() est disponible.
Prise en charge de Chrome
Chrome prend en charge Web Crypto dans les contextes sécurisés et est le navigateur principal utilisé pour les vérifications de développement de PwdGen. Le package d’extension Chrome suit le même modèle local uniquement : aucun script distant, aucune permission d’hôte et aucun stockage de mots de passe.
Prise en charge d’Edge
Microsoft Edge est basé sur Chromium et prend en charge les mêmes primitives Web Crypto utilisées par PwdGen. En utilisation normale, les utilisateurs d’Edge peuvent générer, copier et évaluer des mots de passe localement de la même manière que les utilisateurs de Chrome.
Prise en charge de Safari
Safari prend en charge Web Crypto sur les versions modernes de macOS et iOS. Les utilisateurs de Safari mobile doivent se rappeler que les mots de passe copiés peuvent rester dans le presse-papiers système jusqu’à ce qu’ils soient remplacés, et qu’iCloud Keychain ou un autre gestionnaire de mots de passe doit être utilisé pour le stockage à long terme.
Prise en charge de Firefox
Firefox prend en charge crypto.getRandomValues() et peut exécuter le générateur localement. Certains environnements de test locaux automatisés ont rencontré des problèmes de réinitialisation de connexion sans lien avec le comportement de la page, donc la vérification en production se concentre sur l’API du navigateur et la limite de confidentialité plutôt que sur un environnement de test local.
Prise en charge des navigateurs mobiles
Les navigateurs mobiles peuvent générer des mots de passe aléatoires sécurisés tant qu’ils exposent Web Crypto. La mise en page de PwdGen maintient les boutons suffisamment grands pour l’interaction tactile et conserve les mots de passe générés de gauche à droite même dans les locales RTL.
Exigence Web Crypto
PwdGen nécessite une source aléatoire cryptographique. Le générateur demande des octets aléatoires à crypto.getRandomValues() et les mappe aux choix de caractères avec un échantillonnage par rejet. Cela évite d’utiliser Math.random(), qui n’est pas spécifié pour une utilisation sensible à la sécurité.
Si Web Crypto n’est pas disponible
PwdGen échoue de manière sécurisée. La page reste lisible, mais les contrôles de mot de passe sont désactivés et un avertissement explique que la génération sécurisée nécessite un navigateur moderne. Il est préférable de n’afficher aucun mot de passe généré plutôt que de créer silencieusement des identifiants faibles.
Déclaration de génération locale uniquement
La génération et la vérification s’exécutent dans le navigateur. PwdGen ne télécharge pas les mots de passe générés, les mots de passe existants saisis dans le vérificateur, les phrases de passe ou les valeurs exportées. La génération locale ne peut pas protéger un appareil compromis, une extension malveillante, un presse-papiers non sécurisé, une page de phishing ou un service de destination avec un stockage de mots de passe faible.
Pour les détails d’implémentation, lisez la méthodologie de sécurité et le livre blanc sur la génération de mots de passe côté client.
Foire aux questions
Quels navigateurs PwdGen prend-il en charge ?
PwdGen est conçu pour les versions modernes de Chrome, Edge, Safari, Firefox et les navigateurs mobiles actuels qui exposent l’API Web Crypto.
Que se passe-t-il si Web Crypto n’est pas disponible ?
Les contrôles de mot de passe sont désactivés et un avertissement de compatibilité est affiché. PwdGen ne recourt pas à Math.random() pour la génération de mots de passe.
La prise en charge du navigateur modifie-t-elle le modèle de confidentialité ?
Non. Dans les navigateurs pris en charge, la génération et l’évaluation s’exécutent localement. Les principales limites de confidentialité sont l’appareil, les extensions de navigateur, le presse-papiers et le service de destination.