सुरक्षा मार्गदर्शिका
क्या ऑनलाइन पासवर्ड जनरेटर सुरक्षित है?
समझें कि ऑनलाइन पासवर्ड जनरेटर कब उपयोग करना सुरक्षित है, स्थानीय ब्राउज़र जनरेशन का क्या अर्थ है, और कौन से जोखिम अभी भी बने रहते हैं।
सारांश
एक ऑनलाइन पासवर्ड जनरेटर सुरक्षित हो सकता है जब वह ब्राउज़र में स्थानीय रूप से पासवर्ड उत्पन्न करता है, क्रिप्टोग्राफिक रैंडम स्रोत का उपयोग करता है, और उत्पन्न मानों को सर्वर पर नहीं भेजता है। यह केवल इसलिए स्वचालित रूप से सुरक्षित नहीं है क्योंकि पेज HTTPS है या पेशेवर दिखता है।
PwdGen स्थानीय जनरेशन के आसपास डिज़ाइन किया गया है। आप पद्धति पढ़ सकते हैं और अपने ब्राउज़र के नेटवर्क पैनल में दावे का परीक्षण कर सकते हैं।
“स्थानीय जनरेशन” का क्या अर्थ है
स्थानीय जनरेशन का मतलब है कि पासवर्ड आपके ब्राउज़र में चल रहे कोड द्वारा चुना जाता है। वेबसाइट पेज वितरित कर सकती है, लेकिन उसे उत्पन्न पासवर्ड प्राप्त करने की आवश्यकता नहीं है। PwdGen में, जनरेटर Web Crypto का उपयोग करता है, परिणाम को पेज पर प्रस्तुत करता है, और केवल तब क्लिपबोर्ड पर लिखता है जब आप कॉपी पर क्लिक करते हैं।
क्या सत्यापित करें
डेवलपर टूल खोलें, नेटवर्क पैनल साफ़ करें, फिर पुनः उत्पन्न करें और एक पासवर्ड कॉपी करें। आपको उत्पन्न मान वाले Fetch, XHR, या Beacon अनुरोध नहीं देखने चाहिए। यह भी जांचें कि साइट अपने रैंडमनेस स्रोत की व्याख्या करती है, असंभव गारंटी का दावा नहीं करती है, और केवल पासवर्ड उत्पन्न करने के लिए खाता बनाने के लिए नहीं कहती है।
शेष जोखिम
स्थानीय जनरेशन एक समझौता किए गए कंप्यूटर, दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन, क्लिपबोर्ड मॉनिटर, स्क्रीन रिकॉर्डर, फ़िशिंग पेज, या असुरक्षित पासवर्ड मैनेजर से रक्षा नहीं कर सकता है। उत्पन्न मान को गुप्त मानें जैसे ही वह प्रकट होता है।
विस्तृत मार्गदर्शन
यह मार्गदर्शिका यह मूल्यांकन करने पर केंद्रित है कि क्या कोई ऑनलाइन पासवर्ड जनरेटर उपयोग करना सुरक्षित है। यह गोपनीयता-जागरूक उपयोगकर्ताओं के लिए लिखा गया है जो सर्वर-साइड पासवर्ड हैंडलिंग के बिना ब्राउज़र सुविधा चाहते हैं, इसलिए व्यावहारिक लक्ष्य एक नाटकीय सुरक्षा दावा बनाना नहीं है। लक्ष्य एक पासवर्ड आदत चुनना है जो रोजमर्रा के उपयोग में टिक सके: साइन-इन फॉर्म, पासवर्ड मैनेजर, मोबाइल कीबोर्ड, खाता पुनर्प्राप्ति, साझा उपकरण, और अजीब सत्यापन नियमों वाली सेवाएं। एक सुरक्षित अनुशंसा तभी उपयोगी है जब कोई वास्तविक व्यक्ति इसे लगातार अपना सके।
सबसे सुरक्षित शुरुआती बिंदु यादृच्छिकता और विशिष्टता है। यादृच्छिकता का मतलब है कि मान एक बड़े स्थान से क्रिप्टोग्राफिक रूप से उपयुक्त यादृच्छिक स्रोत द्वारा चुना गया है, न कि जन्मदिन, पालतू जानवर के नाम, कीबोर्ड पैटर्न, या पसंदीदा उद्धरण से आविष्कार किया गया। विशिष्टता का मतलब है कि एक ही पासवर्ड कहीं और उपयोग नहीं किया गया है। एक लंबा लेकिन पुन: उपयोग किया गया पासवर्ड एक असंबंधित उल्लंघन के बाद जल्दी विफल हो सकता है, जबकि एक अद्वितीय यादृच्छिक पासवर्ड नुकसान को केवल उस एक खाते तक सीमित करता है जहां इसका उपयोग किया गया था।
इस विषय के लिए, एक व्यावहारिक प्रीसेट Web Crypto के साथ ब्राउज़र-स्थानीय जनरेशन और उत्पन्न मानों का कोई सर्वर सबमिशन नहीं है। आप उस प्रीसेट को ऑफ़लाइन पासवर्ड जनरेटर के साथ लागू कर सकते हैं और फिर अंतिम मान को एक विश्वसनीय पासवर्ड मैनेजर में संग्रहीत कर सकते हैं। PwdGen Web Crypto के साथ ब्राउज़र में स्थानीय रूप से मान उत्पन्न करता है; उत्पन्न पासवर्ड PwdGen सर्वर को नहीं भेजा जाता है। वह स्थानीय डिज़ाइन सर्वर-साइड एक्सपोज़र को कम करता है, लेकिन हर खतरे से रक्षा नहीं करता है। एक दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन, एक समझौता किया गया उपकरण, एक फ़िशिंग पेज, या असुरक्षित क्लिपबोर्ड हैंडलिंग अभी भी उत्पन्न होने के बाद एक गुप्त को उजागर कर सकता है।
सबसे आम समस्याएं जिनसे बचना चाहिए वे हैं सर्वर-जनरेटेड पासवर्ड, पासवर्ड फ़ील्ड के पास तृतीय-पक्ष स्क्रिप्ट, आक्रामक एनालिटिक्स, कॉपी किए गए क्लोन, और पेज एक्सेस वाले ब्राउज़र एक्सटेंशन। ये समस्याएं मायने रखती हैं क्योंकि हमलावरों को शायद ही कभी हर संभव पासवर्ड को ब्रूट-फोर्स करने की आवश्यकता होती है जब मानव आदतें उन्हें शॉर्टकट देती हैं। क्रेडेंशियल स्टफिंग, फ़िशिंग, लीक हुई पासवर्ड सूचियां, और खाता-पुनर्प्राप्ति दुरुपयोग अक्सर शुद्ध गणितीय खोज की तुलना में अधिक यथार्थवादी होते हैं। यही कारण है कि सबसे अच्छी सलाह पासवर्ड गुणवत्ता को MFA, पासकी, रिकवरी-कोड स्टोरेज, और रिकवरी ईमेल या फोन सेटिंग्स की नियमित समीक्षा जैसे खाता-स्तरीय नियंत्रणों के साथ जोड़ती है।
अनुशंसा लागू करते समय इस चेकलिस्ट का उपयोग करें:
- स्थानीय-जनरेशन स्पष्टीकरण देखें।
- उन उपकरणों से बचें जिन्हें बुनियादी जनरेशन के लिए खाते की आवश्यकता होती है।
- गोपनीयता और पद्धति पृष्ठों की जांच करें।
- उच्च-मूल्य वाले क्रेडेंशियल को संभालते समय ऑफ़लाइन मोड का उपयोग करें।
यदि कोई वेबसाइट आदर्श सेटिंग को अस्वीकार करती है, तो पासवर्ड को हाथ से कमजोर पैटर्न में मजबूर न करें। एक बार में एक चर समायोजित करें। यदि प्रतीक अस्वीकार किए जाते हैं, तो अपरकेस, लोअरकेस और संख्याओं को सक्षम रखें और लंबाई बढ़ाएं। यदि अधिकतम लंबाई कम है, तो सबसे बड़ी स्वीकृत लंबाई का उपयोग करें और सुनिश्चित करें कि मान अद्वितीय है। यदि पासवर्ड को जोर से पढ़ा जाना है, मुद्रित किया जाना है, या टेलीविजन या राउटर स्क्रीन पर टाइप किया जाना है, तो भ्रमित करने वाले वर्णों को बाहर करने और छोटे वर्णमाला की भरपाई के लिए लंबाई बढ़ाने पर विचार करें।
अंत में, पासवर्ड सलाह की सीमा याद रखें। एक मजबूत पासवर्ड रक्षा की एक परत है, गारंटी नहीं। यह फ़िशिंग पेज को सुरक्षित नहीं बना सकता, मैलवेयर को ठीक नहीं कर सकता, या उस सेवा की भरपाई नहीं कर सकता जो क्रेडेंशियल को खराब तरीके से संग्रहीत करती है। उपयोगी आदत उबाऊ लेकिन टिकाऊ है: एक अद्वितीय मान उत्पन्न करें, इसे सुरक्षित रूप से संग्रहीत करें, पुनर्प्राप्ति पथ की रक्षा करें, और यदि आपको एक्सपोज़र का संदेह हो तो इसे जल्दी से बदलें।
अक्सर पूछे जाने वाले प्रश्न
क्या ऑनलाइन जनरेटर सुरक्षित है यदि वह स्थानीय रूप से चलता है?
यह सर्वर-साइड जनरेशन की तुलना में सुरक्षित हो सकता है क्योंकि उत्पन्न मान को ब्राउज़र छोड़ने की आवश्यकता नहीं है, लेकिन डिवाइस और ब्राउज़र विश्वास अभी भी मायने रखता है।
उपयोग करने से पहले मुझे क्या जांचना चाहिए?
स्थानीय जनरेशन, Web Crypto, पासवर्ड-युक्त अनुरोधों की अनुपस्थिति, गोपनीयता नीति, और स्पष्ट पद्धति देखें।
क्या स्थानीय जनरेशन मैलवेयर से रक्षा कर सकता है?
नहीं। मैलवेयर, दुर्भावनापूर्ण एक्सटेंशन, असुरक्षित क्लिपबोर्ड मैनेजर, और फ़िशिंग पेज जनरेटर की सुरक्षा सीमा के बाहर हैं।