Narzędzie do tworzenia haseł Powrót do generatora

Poradnik bezpieczeństwa

Czy internetowy generator haseł jest bezpieczny?

Dowiedz się, kiedy korzystanie z internetowego generatora haseł jest bezpieczne, co oznacza lokalne generowanie w przeglądarce i jakie ryzyka nadal pozostają.

Podsumowanie

Internetowy generator haseł może być bezpieczny, jeśli generuje hasła lokalnie w przeglądarce, korzysta z kryptograficznego źródła losowości i nie wysyła wygenerowanych wartości na serwer. Nie jest automatycznie bezpieczny tylko dlatego, że strona używa HTTPS lub wygląda profesjonalnie.

PwdGen został zaprojektowany z myślą o lokalnym generowaniu. Możesz przeczytać metodologię i przetestować to twierdzenie w panelu sieciowym swojej przeglądarki.

Co oznacza „lokalne generowanie”

Lokalne generowanie oznacza, że hasło jest wybierane przez kod działający w Twojej przeglądarce. Strona internetowa może dostarczyć stronę, ale nie musi otrzymywać wygenerowanego hasła. W PwdGen generator używa Web Crypto, wyświetla wynik na stronie i zapisuje do schowka tylko po kliknięciu przycisku kopiowania.

Co sprawdzić

Otwórz narzędzia deweloperskie, wyczyść panel sieciowy, a następnie wygeneruj ponownie i skopiuj hasło. Nie powinieneś widzieć żądań Fetch, XHR ani Beacon zawierających wygenerowaną wartość. Sprawdź również, czy strona wyjaśnia źródło losowości, nie obiecuje niemożliwych gwarancji i nie wymaga zakładania konta tylko po to, aby wygenerować hasło.

Pozostałe ryzyka

Lokalne generowanie nie chroni przed zainfekowanym komputerem, złośliwym rozszerzeniem przeglądarki, monitorem schowka, rejestratorem ekranu, stroną phishingową ani niebezpiecznym menedżerem haseł. Traktuj wygenerowaną wartość jako tajemnicę od momentu jej pojawienia się.

Szczegółowe wskazówki

Ten przewodnik koncentruje się na ocenie, czy internetowy generator haseł jest bezpieczny w użyciu. Jest przeznaczony dla świadomych prywatności użytkowników, którzy chcą wygody przeglądarki bez obsługi haseł po stronie serwera, więc praktycznym celem nie jest tworzenie dramatycznych twierdzeń o bezpieczeństwie. Celem jest wybór nawyku dotyczącego haseł, który przetrwa codzienne użytkowanie: formularze logowania, menedżery haseł, klawiatury mobilne, odzyskiwanie konta, współdzielone urządzenia i okazjonalne usługi z dziwnymi regułami walidacji. Bezpieczne zalecenie jest użyteczne tylko wtedy, gdy prawdziwa osoba może go konsekwentnie przestrzegać.

Najbezpieczniejszym punktem wyjścia jest losowość plus unikalność. Losowość oznacza, że wartość jest wybierana z dużej przestrzeni przez kryptograficznie odpowiednie źródło losowe, a nie wymyślona z daty urodzenia, imienia zwierzaka, wzoru klawiatury czy ulubionego cytatu. Unikalność oznacza, że to samo hasło nie jest używane nigdzie indziej. Hasło, które jest długie, ale używane wielokrotnie, może szybko zawieść po jednym niepowiązanym wycieku, podczas gdy unikalne losowe hasło ogranicza szkody do pojedynczego konta, na którym zostało użyte.

W tym temacie praktycznym ustawieniem jest generowanie lokalne w przeglądarce z Web Crypto i bez przesyłania wygenerowanych wartości na serwer. Możesz zastosować to ustawienie za pomocą offline password generator, a następnie przechować końcową wartość w zaufanym menedżerze haseł. PwdGen generuje wartości lokalnie w przeglądarce za pomocą Web Crypto; wygenerowane hasło nie jest wysyłane na serwer PwdGen. Ta lokalna konstrukcja zmniejsza ekspozycję po stronie serwera, ale nie chroni przed każdym zagrożeniem. Złośliwe rozszerzenie przeglądarki, zainfekowane urządzenie, strona phishingowa lub niebezpieczne zarządzanie schowkiem mogą nadal ujawnić tajemnicę po jej wygenerowaniu.

Najczęstsze problemy, których należy unikać, to hasła generowane po stronie serwera, skrypty stron trzecich w pobliżu pól haseł, inwazyjna analityka, sklonowane kopie i rozszerzenia przeglądarki z dostępem do strony. Te problemy mają znaczenie, ponieważ atakujący rzadko muszą brute-force’ować każde możliwe hasło, gdy ludzkie nawyki dają im skrót. Credential stuffing, phishing, wyciekające listy haseł i nadużycia przy odzyskiwaniu konta są często bardziej realistyczne niż czyste matematyczne wyszukiwanie. Dlatego najlepsza rada łączy jakość hasła z kontrolami na poziomie konta, takimi jak MFA, klucze dostępu, przechowywanie kodów odzyskiwania i regularny przegląd ustawień e-maila lub telefonu do odzyskiwania.

Skorzystaj z tej listy kontrolnej podczas stosowania zalecenia:

Jeśli strona internetowa odrzuca idealne ustawienie, nie zmuszaj hasła do słabszego wzorca ręcznie. Dostosuj jedną zmienną na raz. Jeśli symbole są odrzucane, pozostaw włączone wielkie litery, małe litery i cyfry oraz zwiększ długość. Jeśli maksymalna długość jest niska, użyj największej akceptowanej długości i upewnij się, że wartość jest unikalna. Jeśli hasło musi być odczytane na głos, wydrukowane lub wpisane na ekranie telewizora lub routera, rozważ wykluczenie mylących znaków i zwiększenie długości, aby zrekompensować mniejszy alfabet.

Na koniec pamiętaj o granicach porad dotyczących haseł. Silne hasło to jedna warstwa obrony, a nie gwarancja. Nie może sprawić, że strona phishingowa będzie bezpieczna, naprawić złośliwego oprogramowania ani zrekompensować usługi, która źle przechowuje dane uwierzytelniające. Użyteczny nawyk jest nudny, ale trwały: wygeneruj unikalną wartość, przechowuj ją bezpiecznie, chroń ścieżkę odzyskiwania i szybko ją wymień, jeśli podejrzewasz ujawnienie.

Często zadawane pytania

Czy internetowy generator jest bezpieczny, jeśli działa lokalnie?

Może być bezpieczniejszy niż generowanie po stronie serwera, ponieważ wygenerowana wartość nie musi opuszczać przeglądarki, ale zaufanie do urządzenia i przeglądarki nadal ma znaczenie.

Co powinienem sprawdzić przed użyciem?

Szukaj lokalnego generowania, Web Crypto, braku żądań zawierających hasła, polityki prywatności i jasnej metodologii.

Czy lokalne generowanie może chronić przed złośliwym oprogramowaniem?

Nie. Złośliwe oprogramowanie, złośliwe rozszerzenia, niebezpieczne menedżery schowka i strony phishingowe są poza granicami ochrony generatora.

Źródła