Bezpečnostná príručka

Je online generátor hesiel bezpečný?

Zistite, kedy je online generátor hesiel bezpečný, čo znamená lokálne generovanie v prehliadači a aké riziká stále pretrvávajú.

Zhrnutie

Online generátor hesiel môže byť bezpečný, ak generuje heslá lokálne v prehliadači, používa kryptografický náhodný zdroj a neodosiela vygenerované hodnoty na server. Nie je automaticky bezpečný len preto, že stránka používa HTTPS alebo vyzerá profesionálne.

PwdGen je navrhnutý na lokálne generovanie. Môžete si prečítať metodológiu a otestovať toto tvrdenie v paneli siete prehliadača.

Čo znamená „lokálne generovanie“

Lokálne generovanie znamená, že heslo je vybrané kódom bežiacim vo vašom prehliadači. Webová stránka môže doručiť stránku, ale nemusí prijať vygenerované heslo. V PwdGen generátor používa Web Crypto, zobrazí výsledok na stránke a zapíše do schránky až po kliknutí na kopírovanie.

Čo overiť

Otvorte vývojárske nástroje, vyčistite panel siete, potom znova vygenerujte a skopírujte heslo. Nemali by ste vidieť Fetch, XHR ani Beacon požiadavky obsahujúce vygenerovanú hodnotu. Tiež skontrolujte, či stránka vysvetľuje svoj zdroj náhodnosti, netvrdí nemožné záruky a nevyžaduje vytvorenie účtu len na generovanie hesla.

Zostávajúce riziká

Lokálne generovanie neochráni pred napadnutým počítačom, škodlivým rozšírením prehliadača, monitorom schránky, nahrávačom obrazovky, phishingovou stránkou ani nebezpečným správcom hesiel. S vygenerovanou hodnotou zaobchádzajte ako s tajomstvom hneď, ako sa objaví.

Podrobný návod

Tento návod sa zameriava na hodnotenie, či je online generátor hesiel bezpečný. Je určený pre používateľov, ktorí dbajú na súkromie a chcú pohodlie prehliadača bez spracovania hesiel na strane servera. Praktickým cieľom nie je vytvoriť dramatické bezpečnostné tvrdenie, ale vybrať si návyk na heslá, ktorý vydrží každodenné používanie: prihlasovacie formuláre, správcovia hesiel, mobilné klávesnice, obnova účtu, zdieľané zariadenia a občasné služby s podivnými validačnými pravidlami. Bezpečné odporúčanie je užitočné len vtedy, ak ho skutočný človek dokáže dôsledne dodržiavať.

Najbezpečnejším východiskom je náhodnosť plus jedinečnosť. Náhodnosť znamená, že hodnota je vybraná z veľkého priestoru kryptograficky vhodným náhodným zdrojom, nie vymyslená z narodenín, mena domáceho maznáčika, vzoru na klávesnici alebo obľúbeného citátu. Jedinečnosť znamená, že rovnaké heslo sa nepoužíva nikde inde. Dlhé, ale znovu použité heslo môže zlyhať rýchlo po jednom nesúvisiacom úniku, zatiaľ čo jedinečné náhodné heslo obmedzí škodu na jediný účet, kde bolo použité.

Pre túto tému je praktickým prednastavením lokálne generovanie v prehliadači s Web Crypto a bez odosielania vygenerovaných hodnôt na server. Toto prednastavenie môžete použiť s offline generátorom hesiel a potom uložiť výslednú hodnotu do dôveryhodného správcu hesiel. PwdGen generuje hodnoty lokálne v prehliadači pomocou Web Crypto; vygenerované heslo nie je odoslané na server PwdGen. Tento lokálny dizajn znižuje vystavenie na strane servera, ale nechráni pred každou hrozbou. Škodlivé rozšírenie prehliadača, napadnuté zariadenie, phishingová stránka alebo nebezpečné zaobchádzanie so schránkou môžu tajomstvo odhaliť aj po jeho vygenerovaní.

Najčastejšie problémy, ktorým sa treba vyhnúť, sú heslá generované na serveri, skripty tretích strán v blízkosti polí pre heslá, invazívna analytika, skopírované klony a rozšírenia prehliadača s prístupom na stránku. Tieto problémy sú dôležité, pretože útočníci len zriedka potrebujú brute-force všetky možné heslá, keď im ľudské návyky poskytnú skratku. Credential stuffing, phishing, uniknuté zoznamy hesiel a zneužitie obnovy účtu sú často realistickejšie ako čisto matematické vyhľadávanie. Preto najlepšia rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, ako sú MFA, prístupové kľúče, ukladanie kódov na obnovu a pravidelná kontrola e-mailu alebo telefónu na obnovu.

Použite tento kontrolný zoznam pri aplikovaní odporúčania:

• Hľadajte vysvetlenie lokálneho generovania.
• Vyhýbajte sa nástrojom, ktoré vyžadujú účet na základné generovanie.
• Skontrolujte stránky o ochrane súkromia a metodológii.
• Použite offline režim pri práci s vysoko hodnotnými prihlasovacími údajmi.

Ak webová stránka odmietne ideálne nastavenie, nenuťte heslo do slabšieho vzoru ručne. Upravte jednu premennú naraz. Ak sú symboly odmietnuté, ponechajte veľké písmená, malé písmená a čísla a zvýšte dĺžku. Ak je maximálna dĺžka nízka, použite najväčšiu akceptovanú dĺžku a uistite sa, že hodnota je jedinečná. Ak sa musí heslo čítať nahlas, tlačiť alebo písať na televíznej či routerovej obrazovke, zvážte vylúčenie mätúcich znakov a zvýšenie dĺžky na kompenzáciu menšej abecedy.

Nakoniec si pamätajte hranice rád o heslách. Silné heslo je jedna vrstva obrany, nie záruka. Nedokáže urobiť phishingovú stránku bezpečnou, opraviť malvér ani kompenzovať službu, ktorá uchováva prihlasovacie údaje zle. Užitočný návyk je nudný, ale trvácny: vygenerujte jedinečnú hodnotu, bezpečne ju uložte, chráňte cestu obnovy a rýchlo ju vymeňte, ak máte podozrenie na odhalenie.

Často kladené otázky

Je online generátor bezpečný, ak beží lokálne?

Môže byť bezpečnejší ako generovanie na strane servera, pretože vygenerovaná hodnota nemusí opustiť prehliadač, ale dôveryhodnosť zariadenia a prehliadača stále zohráva úlohu.

Čo by som mal skontrolovať pred použitím?

Hľadajte lokálne generovanie, Web Crypto, žiadne požiadavky obsahujúce heslá, zásady ochrany súkromia a jasnú metodológiu.

Môže lokálne generovanie chrániť pred malvérom?

Nie. Malvér, škodlivé rozšírenia, nebezpečné správcovia schránky a phishingové stránky sú mimo ochrannej hranice generátora.