Guida alla sicurezza
Supporto browser per la generazione locale di password
Scopri come PwdGen funziona in Chrome, Edge, Safari, Firefox e browser mobili, e cosa succede se Web Crypto non è disponibile.
Riepilogo
PwdGen è progettato per browser moderni che supportano l’API Web Crypto. La generazione di password, la stima della loro robustezza, gli strumenti per passphrase e le utility locali vengono eseguiti nel browser, non su un server PwdGen. Questo design funziona in Chrome, Edge, Safari, Firefox e nei browser mobili attuali quando crypto.getRandomValues() è disponibile.
Supporto Chrome
Chrome supporta Web Crypto in contesti sicuri ed è il browser principale utilizzato per i controlli di sviluppo di PwdGen. Il pacchetto dell’estensione Chrome segue lo stesso modello locale: nessuno script remoto, nessun permesso host e nessuna memorizzazione di password.
Supporto Edge
Microsoft Edge è basato su Chromium e supporta le stesse primitive Web Crypto utilizzate da PwdGen. In condizioni normali, gli utenti di Edge possono generare, copiare e valutare le password localmente come gli utenti di Chrome.
Supporto Safari
Safari supporta Web Crypto sulle versioni moderne di macOS e iOS. Gli utenti di Safari mobile devono ricordare che le password copiate potrebbero rimanere negli appunti di sistema fino a quando non vengono sostituite, e per la conservazione a lungo termine si consiglia di utilizzare iCloud Keychain o un altro gestore di password.
Supporto Firefox
Firefox supporta crypto.getRandomValues() e può eseguire il generatore localmente. Alcuni ambienti di test locali automatizzati hanno avuto problemi di reset della connessione non correlati al comportamento della pagina, quindi la verifica in produzione si concentra sull’API del browser e sul confine della privacy piuttosto che su un singolo ambiente di test locale.
Supporto browser mobile
I browser mobili possono generare password casuali sicure purché espongano Web Crypto. Il layout di PwdGen mantiene i pulsanti abbastanza grandi per l’interazione tattile e mantiene le password generate da sinistra a destra anche nelle impostazioni regionali RTL.
Requisito Web Crypto
PwdGen richiede una fonte casuale crittografica. Il generatore richiede byte casuali da crypto.getRandomValues() e li mappa alle scelte di caratteri con campionamento per rifiuto. Questo evita l’uso di Math.random(), che non è specificato per usi sensibili alla sicurezza.
Se Web Crypto non è disponibile
PwdGen fallisce in modo sicuro. La pagina rimane leggibile, ma i controlli delle password sono disabilitati e un avviso spiega che la generazione sicura richiede un browser moderno. È meglio non mostrare alcuna password generata piuttosto che creare silenziosamente credenziali deboli.
Dichiarazione di generazione solo locale
La generazione e la verifica vengono eseguite nel browser. PwdGen non carica password generate, password esistenti inserite nel verificatore, passphrase o valori esportati. La generazione locale non può proteggere un dispositivo compromesso, estensioni dannose, appunti non sicuri, pagine di phishing o servizi di destinazione con archiviazione debole delle password.
Per i dettagli di implementazione, leggi la metodologia di sicurezza e il whitepaper sulla generazione lato client delle password.
Domande frequenti
Quali browser supporta PwdGen?
PwdGen è progettato per versioni moderne di Chrome, Edge, Safari, Firefox e browser mobili attuali che espongono l’API Web Crypto.
Cosa succede se Web Crypto non è disponibile?
I controlli delle password vengono disabilitati e viene mostrato un avviso di compatibilità. PwdGen non ricorre a Math.random() per la generazione delle password.
Il supporto del browser cambia il modello di privacy?
No. Nei browser supportati, generazione e valutazione vengono eseguite localmente. I principali limiti di privacy sono il dispositivo, le estensioni del browser, gli appunti e il servizio di destinazione.