Narzędzie do tworzenia haseł Powrót do generatora

Poradnik bezpieczeństwa

Jak generować hasła offline

Poznaj bezpieczne sposoby generowania haseł bez wysyłania wygenerowanych wartości na serwer, w tym narzędzia lokalne w przeglądarce, użycie PWA, narzędzia CLI oraz ograniczenia.

Podsumowanie

Generowanie haseł offline oznacza, że wygenerowana wartość nie wymaga komunikacji z serwerem. PwdGen obsługuje generowanie lokalne w przeglądarce, instalację jako PWA oraz przepływy CLI wykorzystujące losowość zgodną z Web Crypto.

Skorzystaj z generatora haseł offline lub notatek CLI dla programistów.

Użycie lokalne w przeglądarce

Nowoczesna przeglądarka może buforować powłokę PWA. Po jej załadowaniu generowanie haseł wykorzystuje lokalny Web Crypto. PwdGen nadal unika buforowania odpowiedzi API, analityki ani wygenerowanych wartości.

Użycie CLI

Generowanie z linii poleceń jest przydatne dla programistów i administratorów, którzy chcą pracować lokalnie bez otwierania przeglądarki. Wyniki przechowuj w menedżerze haseł lub menedżerze sekretów, a nie w historii powłoki czy logach.

Praktyczne zalecenia

Szczegółowe wskazówki

Ten przewodnik koncentruje się na generowaniu haseł przy jednoczesnym ograniczeniu ekspozycji sieciowej. Jest przeznaczony dla osób, które chcą mieć narzędzie dostępne po załadowaniu strony lub w powłoce PWA/offline, więc praktycznym celem nie jest tworzenie dramatycznych twierdzeń o bezpieczeństwie. Celem jest wybór nawyku dotyczącego haseł, który sprawdzi się w codziennym użytkowaniu: formularze logowania, menedżery haseł, klawiatury mobilne, odzyskiwanie konta, współdzielone urządzenia i okazjonalne usługi z dziwnymi regułami walidacji. Bezpieczne zalecenie jest użyteczne tylko wtedy, gdy prawdziwa osoba może je konsekwentnie stosować.

Najbezpieczniejszym punktem wyjścia jest losowość plus unikalność. Losowość oznacza, że wartość jest wybierana z dużej przestrzeni przez kryptograficznie odpowiednie źródło losowe, a nie wymyślona na podstawie daty urodzenia, imienia zwierzaka, wzoru klawiatury czy ulubionego cytatu. Unikalność oznacza, że to samo hasło nie jest używane nigdzie indziej. Hasło długie, ale używane wielokrotnie, może szybko zawieść po jednym niepowiązanym wycieku, podczas gdy unikalne losowe hasło ogranicza szkody do jednego konta, na którym zostało użyte.

W tym temacie praktycznym ustawieniem jest załadowanie zaufanej lokalnej strony, w razie potrzeby odłączenie się od sieci, a następnie wygenerowanie hasła za pomocą Web Crypto w przeglądarce. Możesz zastosować to ustawienie za pomocą generatora haseł offline, a następnie przechować końcową wartość w zaufanym menedżerze haseł. PwdGen generuje wartości lokalnie w przeglądarce za pomocą Web Crypto; wygenerowane hasło nie jest wysyłane na serwer PwdGen. Ta lokalna konstrukcja zmniejsza ekspozycję po stronie serwera, ale nie chroni przed każdym zagrożeniem. Złośliwe rozszerzenie przeglądarki, zainfekowane urządzenie, strona phishingowa lub niebezpieczne zarządzanie schowkiem mogą nadal ujawnić sekret po jego wygenerowaniu.

Najczęstsze problemy, których należy unikać, to niezaufane kopie, nieaktualne buforowane strony, zainfekowane urządzenia, złośliwe rozszerzenia i niebezpieczne przechowywanie wygenerowanych wartości. Te problemy mają znaczenie, ponieważ atakujący rzadko muszą brute-force’ować każde możliwe hasło, gdy ludzkie nawyki dają im skrót. Credential stuffing, phishing, wyciekłe listy haseł i nadużycia przy odzyskiwaniu konta są często bardziej realistyczne niż czyste matematyczne wyszukiwanie. Dlatego najlepsza rada łączy jakość hasła z kontrolami na poziomie konta, takimi jak MFA, klucze dostępu, przechowywanie kodów odzyskiwania i regularny przegląd ustawień e-maila lub telefonu do odzyskiwania.

Skorzystaj z tej listy kontrolnej podczas stosowania zaleceń:

Jeśli strona internetowa odrzuci idealne ustawienie, nie zmuszaj hasła do słabszego wzorca ręcznie. Dostosuj jedną zmienną naraz. Jeśli symbole są odrzucane, pozostaw włączone wielkie litery, małe litery i cyfry oraz zwiększ długość. Jeśli maksymalna długość jest niska, użyj największej akceptowanej długości i upewnij się, że wartość jest unikalna. Jeśli hasło musi być odczytane na głos, wydrukowane lub wpisane na ekranie telewizora czy routera, rozważ wykluczenie mylących znaków i zwiększenie długości, aby zrekompensować mniejszy alfabet.

Na koniec pamiętaj o granicach porad dotyczących haseł. Silne hasło to jedna warstwa obrony, a nie gwarancja. Nie może sprawić, że strona phishingowa będzie bezpieczna, naprawić złośliwego oprogramowania ani zrekompensować usługi, która źle przechowuje dane uwierzytelniające. Użyteczny nawyk jest nudny, ale trwały: wygeneruj unikalną wartość, przechowaj ją bezpiecznie, chroń ścieżkę odzyskiwania i wymień ją szybko, jeśli podejrzewasz ujawnienie.

Bezpieczny następny krok

Po przeczytaniu tego przewodnika wykonaj jeden mały audyt konta, zamiast próbować naprawić wszystko naraz. Wybierz konto, które spowodowałoby najwięcej problemów, gdyby zostało przejęte, potwierdź, że jego hasło jest unikalne, i sprawdź e-mail do odzyskiwania, telefon do odzyskiwania, metodę MFA i przechowywanie kodów zapasowych. Jeśli jakakolwiek część tego łańcucha jest słaba, popraw tę część przed przejściem do kont o niższym ryzyku. Ta kolejność utrzymuje pracę w zarządzalnych ramach i chroni konta, które atakujący najprawdopodobniej wykorzystają jako odskocznię. Jeśli chodzi o generowanie haseł offline, najlepszym rezultatem jest powtarzalny nawyk: generuj lokalnie, przechowuj ostrożnie i unikaj ponownego użycia.

Często zadawane pytania

Czy PwdGen może działać offline?

Powłoka PWA może być buforowana przez obsługiwane przeglądarki, a generowanie pozostaje lokalne, gdy strona jest dostępna.

Czy generowanie offline jest automatycznie bezpieczniejsze?

Nie automatycznie. Nadal mają znaczenie kompromitacja urządzenia, złośliwe rozszerzenia i ekspozycja schowka.

Jaki jest najbezpieczniejszy przepływ pracy offline?

Użyj zaufanego urządzenia, lokalnego generatora lub CLI, bez przesyłania sieciowego, oraz menedżera haseł lub menedżera sekretów do przechowywania.

Źródła