คู่มือความปลอดภัย
การรองรับเบราว์เซอร์สำหรับการสร้างรหัสผ่านในเครื่อง
เรียนรู้ว่า PwdGen ทำงานอย่างไรใน Chrome, Edge, Safari, Firefox และเบราว์เซอร์มือถือ และจะเกิดอะไรขึ้นหาก Web Crypto ไม่พร้อมใช้งาน
สรุป
PwdGen สร้างขึ้นสำหรับเบราว์เซอร์สมัยใหม่ที่รองรับ Web Crypto API การสร้างรหัสผ่าน การประเมินความแข็งแกร่งของรหัสผ่าน เครื่องมือ passphrase และยูทิลิตี้ในเครื่องทำงานในเบราว์เซอร์แทนที่จะทำงานบนเซิร์ฟเวอร์ของ PwdGen การออกแบบนี้ทำงานได้ใน Chrome, Edge, Safari, Firefox และเบราว์เซอร์มือถือปัจจุบันเมื่อ crypto.getRandomValues() พร้อมใช้งาน
การรองรับ Chrome
Chrome รองรับ Web Crypto ในบริบทที่ปลอดภัยและเป็นเบราว์เซอร์หลักที่ใช้ในการตรวจสอบการพัฒนา PwdGen แพ็คเกจส่วนขยาย Chrome เป็นไปตามโมเดลเฉพาะเครื่องเดียวกัน: ไม่มีสคริปต์ระยะไกล ไม่มีสิทธิ์โฮสต์ และไม่มีการจัดเก็บรหัสผ่าน
การรองรับ Edge
Microsoft Edge เป็นแบบ Chromium และรองรับ Web Crypto primitives เดียวกันกับที่ PwdGen ใช้ ในการใช้งานปกติ ผู้ใช้ Edge สามารถสร้าง คัดลอก และประเมินรหัสผ่านในเครื่องได้เช่นเดียวกับผู้ใช้ Chrome
การรองรับ Safari
Safari รองรับ Web Crypto บน macOS และ iOS รุ่นใหม่ ผู้ใช้ Safari บนมือถือควรจำไว้ว่ารหัสผ่านที่คัดลอกอาจยังคงอยู่ในคลิปบอร์ดของระบบจนกว่าจะถูกแทนที่ และควรใช้ iCloud Keychain หรือตัวจัดการรหัสผ่านอื่นสำหรับการจัดเก็บระยะยาว
การรองรับ Firefox
Firefox รองรับ crypto.getRandomValues() และสามารถเรียกใช้ตัวสร้างในเครื่องได้ สภาพแวดล้อมการทดสอบในเครื่องอัตโนมัติบางแห่งมีปัญหาการรีเซ็ตการเชื่อมต่อที่ไม่เกี่ยวข้องกับพฤติกรรมของหน้า ดังนั้นการตรวจสอบการผลิตจึงเน้นที่ API ของเบราว์เซอร์และขอบเขตความเป็นส่วนตัวมากกว่าการทดสอบในเครื่องเดียว
การรองรับเบราว์เซอร์มือถือ
เบราว์เซอร์มือถือสามารถสร้างรหัสผ่านแบบสุ่มที่ปลอดภัยได้ตราบเท่าที่เปิดเผย Web Crypto เค้าโครงของ PwdGen ทำให้ปุ่มมีขนาดใหญ่พอสำหรับการโต้ตอบแบบสัมผัส และรักษารหัสผ่านที่สร้างขึ้นให้เรียงจากซ้ายไปขวาแม้ในภาษา RTL
ข้อกำหนด Web Crypto
PwdGen ต้องการแหล่งสุ่มแบบเข้ารหัส ตัวสร้างจะขอไบต์สุ่มจาก crypto.getRandomValues() และแมปไปยังตัวเลือกอักขระด้วยการสุ่มตัวอย่างแบบปฏิเสธ วิธีนี้หลีกเลี่ยงการใช้ Math.random() ซึ่งไม่ได้ระบุสำหรับการใช้งานที่ละเอียดอ่อนด้านความปลอดภัย
หาก Web Crypto ไม่พร้อมใช้งาน
PwdGen จะล้มเหลวแบบปิด หน้ายังคงอ่านได้ แต่การควบคุมรหัสผ่านถูกปิดใช้งานและคำเตือนอธิบายว่าการสร้างที่ปลอดภัยต้องใช้เบราว์เซอร์สมัยใหม่ การไม่แสดงรหัสผ่านที่สร้างขึ้นจะดีกว่าการสร้างข้อมูลประจำตัวที่อ่อนแออย่างเงียบๆ
คำชี้แจงการสร้างเฉพาะเครื่อง
การสร้างและการตรวจสอบทำงานในเบราว์เซอร์ PwdGen ไม่ได้อัปโหลดรหัสผ่านที่สร้างขึ้น รหัสผ่านที่มีอยู่ที่ป้อนในตัวตรวจสอบ passphrase หรือค่าที่ส่งออก การสร้างในเครื่องไม่สามารถป้องกันอุปกรณ์ที่ถูกบุกรุก ส่วนขยายที่เป็นอันตราย คลิปบอร์ดที่ไม่ปลอดภัย หน้า phishing หรือบริการปลายทางที่มีการจัดเก็บรหัสผ่านที่อ่อนแอ
สำหรับรายละเอียดการนำไปใช้ โปรดอ่าน ระเบียบวิธีด้านความปลอดภัย และ เอกสารไวท์เปเปอร์การสร้างรหัสผ่านฝั่งไคลเอ็นต์
คำถามที่พบบ่อย
PwdGen รองรับเบราว์เซอร์ใดบ้าง?
PwdGen ออกแบบมาสำหรับ Chrome, Edge, Safari, Firefox รุ่นใหม่ และเบราว์เซอร์มือถือปัจจุบันที่เปิดเผย Web Crypto API
จะเกิดอะไรขึ้นหาก Web Crypto ไม่พร้อมใช้งาน?
การควบคุมรหัสผ่านถูกปิดใช้งานและแสดงคำเตือนความเข้ากันได้ PwdGen ไม่ถอยกลับไปใช้ Math.random() สำหรับการสร้างรหัสผ่าน
การรองรับเบราว์เซอร์เปลี่ยนโมเดลความเป็นส่วนตัวหรือไม่?
ไม่ ในเบราว์เซอร์ที่รองรับ การสร้างและการประเมินทำงานในเครื่อง ข้อจำกัดความเป็นส่วนตัวหลักคืออุปกรณ์ ส่วนขยายเบราว์เซอร์ คลิปบอร์ด และบริการปลายทาง