Alat Kata Sandi Kembali ke penjana

Panduan keselamatan

Adakah Penjana Kata Laluan Dalam Talian Selamat?

Fahami bila penjana kata laluan dalam talian selamat digunakan, maksud penjanaan setempat dalam pelayar, dan risiko yang masih ada.

Ringkasan

Penjana kata laluan dalam talian boleh selamat jika ia menjana kata laluan secara setempat dalam pelayar, menggunakan sumber rawak kriptografi, dan tidak menghantar nilai yang dijana ke pelayan. Ia tidak semestinya selamat hanya kerana halaman menggunakan HTTPS atau kelihatan profesional.

PwdGen direka untuk penjanaan setempat. Anda boleh membaca metodologi dan menguji tuntutan tersebut dalam panel rangkaian pelayar anda.

Maksud “penjanaan setempat”

Penjanaan setempat bermaksud kata laluan dipilih oleh kod yang berjalan dalam pelayar anda. Laman web boleh menghantar halaman, tetapi ia tidak perlu menerima kata laluan yang dijana. Dalam PwdGen, penjana menggunakan Web Crypto, memaparkan hasil dalam halaman, dan hanya menulis ke papan klip apabila anda klik salin.

Apa yang perlu disahkan

Buka alat pembangun, kosongkan panel Rangkaian, kemudian jana semula dan salin kata laluan. Anda tidak sepatutnya melihat permintaan Fetch, XHR, atau Beacon yang mengandungi nilai yang dijana. Juga pastikan laman web menerangkan sumber rawaknya, tidak membuat jaminan mustahil, dan tidak meminta anda membuat akaun semata-mata untuk menjana kata laluan.

Risiko yang masih ada

Penjanaan setempat tidak dapat melindungi komputer yang terjejas, sambungan pelayar berniat jahat, pemantau papan klip, perakam skrin, halaman pancingan data, atau pengurus kata laluan yang tidak selamat. Anggap nilai yang dijana sebagai rahsia sebaik sahaja ia muncul.

Panduan terperinci

Panduan ini memberi tumpuan kepada menilai sama ada penjana kata laluan dalam talian selamat digunakan. Ia ditulis untuk pengguna yang mementingkan privasi yang mahukan kemudahan pelayar tanpa pengendalian kata laluan di sebelah pelayan, jadi matlamat praktikal bukan untuk membuat tuntutan keselamatan yang dramatik. Matlamatnya adalah untuk memilih tabiat kata laluan yang boleh bertahan dalam penggunaan harian: borang log masuk, pengurus kata laluan, papan kekunci mudah alih, pemulihan akaun, peranti kongsi, dan perkhidmatan sekali-sekala dengan peraturan pengesahan yang pelik. Cadangan yang selamat hanya berguna jika orang sebenar boleh mengikutinya secara konsisten.

Titik permulaan paling selamat adalah rawak ditambah keunikan. Rawak bermaksud nilai dipilih daripada ruang yang besar oleh sumber rawak yang sesuai secara kriptografi, bukan dicipta daripada hari lahir, nama haiwan peliharaan, corak papan kekunci, atau petikan kegemaran. Keunikan bermaksud kata laluan yang sama tidak digunakan di tempat lain. Kata laluan yang panjang tetapi digunakan semula boleh gagal dengan cepat selepas satu pelanggaran yang tidak berkaitan, manakala kata laluan rawak yang unik mengehadkan kerosakan kepada satu akaun di mana ia digunakan.

Untuk topik ini, pratetap praktikal adalah penjanaan setempat pelayar dengan Web Crypto dan tiada penghantaran nilai yang dijana ke pelayan. Anda boleh menggunakan pratetap itu dengan penjana kata laluan luar talian dan kemudian simpan nilai akhir dalam pengurus kata laluan yang dipercayai. PwdGen menjana nilai secara setempat dalam pelayar dengan Web Crypto; kata laluan yang dijana tidak dihantar ke pelayan PwdGen. Reka bentuk setempat itu mengurangkan pendedahan di sebelah pelayan, tetapi ia tidak melindungi daripada setiap ancaman. Sambungan pelayar berniat jahat, peranti terjejas, halaman pancingan data, atau pengendalian papan klip yang tidak selamat masih boleh mendedahkan rahsia selepas ia dijana.

Masalah paling biasa yang perlu dielakkan ialah kata laluan yang dijana oleh pelayan, skrip pihak ketiga berhampiran medan kata laluan, analitik invasif, klon yang disalin, dan sambungan pelayar dengan akses halaman. Masalah ini penting kerana penyerang jarang perlu memaksa semua kemungkinan kata laluan apabila tabiat manusia memberi mereka jalan pintas. Serangan credential stuffing, pancingan data, senarai kata laluan bocor, dan penyalahgunaan pemulihan akaun selalunya lebih realistik daripada carian matematik tulen. Itulah sebabnya nasihat terbaik menggabungkan kualiti kata laluan dengan kawalan peringkat akaun seperti MFA, kunci laluan, penyimpanan kod pemulihan, dan semakan tetap e-mel atau tetapan telefon pemulihan.

Gunakan senarai semak ini semasa menggunakan cadangan:

Jika laman web menolak tetapan ideal, jangan paksa kata laluan ke dalam corak yang lebih lemah secara manual. Laraskan satu pembolehubah pada satu masa. Jika simbol ditolak, pastikan huruf besar, huruf kecil, dan nombor diaktifkan dan tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilai itu unik. Jika kata laluan perlu dibaca dengan kuat, dicetak, atau ditaip pada skrin televisyen atau penghala, pertimbangkan untuk mengecualikan aksara yang mengelirukan dan tingkatkan panjang untuk mengimbangi abjad yang lebih kecil.

Akhir sekali, ingat sempadan nasihat kata laluan. Kata laluan yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak boleh menjadikan halaman pancingan data selamat, membetulkan perisian hasad, atau mengimbangi perkhidmatan yang menyimpan kelayakan dengan buruk. Tabiat yang berguna adalah membosankan tetapi tahan lama: jana nilai unik, simpan dengan selamat, lindungi laluan pemulihan, dan gantikannya dengan cepat jika anda mengesyaki pendedahan.

Soalan lazim

Adakah penjana dalam talian selamat jika ia berjalan secara setempat?

Ia boleh lebih selamat daripada penjanaan di sebelah pelayan kerana nilai yang dijana tidak perlu meninggalkan pelayar, tetapi kepercayaan terhadap peranti dan pelayar masih penting.

Apa yang perlu saya semak sebelum menggunakannya?

Cari penjanaan setempat, Web Crypto, tiada permintaan yang membawa kata laluan, dasar privasi, dan metodologi yang jelas.

Bolehkah penjanaan setempat melindungi daripada perisian hasad?

Tidak. Perisian hasad, sambungan berniat jahat, pengurus papan klip tidak selamat, dan halaman pancingan data berada di luar sempadan perlindungan penjana.

Sumber