Nástroj hesiel Späť na generátor

Bezpečnostná príručka

Podpora prehliadačov pre lokálne generovanie hesiel

Zistite, ako PwdGen funguje v prehliadačoch Chrome, Edge, Safari, Firefox a mobilných prehliadačoch a čo sa stane, ak Web Crypto nie je k dispozícii.

Zhrnutie

PwdGen je navrhnutý pre moderné prehliadače, ktoré podporujú Web Crypto API. Generovanie hesiel, odhad sily hesla, nástroje na tvorbu fráz a lokálne nástroje bežia v prehliadači, nie na serveri PwdGen. Tento dizajn funguje v prehliadačoch Chrome, Edge, Safari, Firefox a súčasných mobilných prehliadačoch, keď je k dispozícii crypto.getRandomValues().

Podpora pre Chrome

Chrome podporuje Web Crypto v bezpečných kontextoch a je primárnym prehliadačom používaným na vývojové kontroly PwdGen. Balík rozšírenia pre Chrome sa riadi rovnakým modelom iba lokálne: žiadne vzdialené skripty, žiadne povolenia na hostiteľa a žiadne ukladanie hesiel.

Podpora pre Edge

Microsoft Edge je založený na Chromiu a podporuje rovnaké Web Crypto primitíva, ktoré používa PwdGen. Pri bežnom používaní môžu používatelia Edge generovať, kopírovať a vyhodnocovať heslá lokálne rovnako ako používatelia Chrome.

Podpora pre Safari

Safari podporuje Web Crypto na moderných verziách macOS a iOS. Používatelia mobilného Safari by si mali pamätať, že skopírované heslá môžu zostať v systémovej schránke, kým nie sú nahradené, a na dlhodobé ukladanie by sa mala použiť iCloud Keychain alebo iný správca hesiel.

Podpora pre Firefox

Firefox podporuje crypto.getRandomValues() a dokáže spúšťať generátor lokálne. Niektoré automatizované lokálne testovacie prostredia mali problémy s resetovaním pripojenia nesúvisiace so správaním stránky, takže produkčná verifikácia sa zameriava na API prehliadača a hranicu súkromia, nie na jeden lokálny nástroj.

Podpora pre mobilné prehliadače

Mobilné prehliadače dokážu generovať bezpečné náhodné heslá, pokiaľ vystavujú Web Crypto. Rozloženie PwdGen udržiava tlačidlá dostatočne veľké pre dotykovú interakciu a generované heslá ponecháva zľava doprava aj v RTL jazykových mutáciách.

Požiadavka na Web Crypto

PwdGen vyžaduje kryptografický náhodný zdroj. Generátor požaduje náhodné bajty z crypto.getRandomValues() a mapuje ich na výbery znakov pomocou zamietacieho vzorkovania. Tým sa vyhýba použitiu Math.random(), ktorý nie je určený na bezpečnostne citlivé použitie.

Ak Web Crypto nie je k dispozícii

PwdGen zlyhá bezpečne. Stránka zostáva čitateľná, ale ovládacie prvky hesiel sú zakázané a zobrazí sa varovanie, že bezpečné generovanie vyžaduje moderný prehliadač. Je lepšie nezobraziť žiadne generované heslo, než ticho vytvárať slabé poverenia.

Vyhlásenie o lokálnom generovaní

Generovanie a kontrola prebiehajú v prehliadači. PwdGen nenahráva generované heslá, existujúce heslá zadané do kontrolóra, frázy ani exportované hodnoty. Lokálne generovanie nemôže chrániť pred kompromitovaným zariadením, škodlivým rozšírením, nebezpečnou schránkou, phishingovou stránkou ani cieľovou službou so slabým ukladaním hesiel.

Podrobnosti o implementácii nájdete v bezpečnostnej metodike a v bielom dokumente o generovaní hesiel na strane klienta.

Často kladené otázky

Ktoré prehliadače PwdGen podporuje?

PwdGen je navrhnutý pre moderné verzie prehliadačov Chrome, Edge, Safari, Firefox a súčasné mobilné prehliadače, ktoré vystavujú Web Crypto API.

Čo sa stane, ak Web Crypto nie je k dispozícii?

Ovládacie prvky hesiel sú zakázané a zobrazí sa varovanie o kompatibilite. PwdGen nepoužíva Math.random() na generovanie hesiel.

Mení podpora prehliadača model súkromia?

Nie. V podporovaných prehliadačoch prebieha generovanie a vyhodnocovanie lokálne. Hlavné obmedzenia súkromia sú zariadenie, rozšírenia prehliadača, schránka a cieľová služba.

Zdroje