Güvenlik rehberi

Çevrimiçi Şifre Oluşturucu Güvenli mi?

Çevrimiçi bir şifre oluşturucunun ne zaman güvenli olduğunu, yerel tarayıcı oluşturmanın ne anlama geldiğini ve hangi risklerin hala devam ettiğini anlayın.

Özet

Çevrimiçi bir şifre oluşturucu, şifreleri tarayıcıda yerel olarak oluşturduğunda, kriptografik bir rastgele kaynak kullandığında ve oluşturulan değerleri bir sunucuya göndermediğinde güvenli olabilir. Sayfanın HTTPS olması veya profesyonel görünmesi otomatik olarak güvenli olduğu anlamına gelmez.

PwdGen, yerel oluşturma etrafında tasarlanmıştır. Metodolojiyi okuyabilir ve bu iddiayı tarayıcınızın ağ panelinde test edebilirsiniz.

“Yerel oluşturma” ne anlama gelir

Yerel oluşturma, şifrenin tarayıcınızda çalışan kod tarafından seçildiği anlamına gelir. Web sitesi sayfayı teslim edebilir, ancak oluşturulan şifreyi alması gerekmez. PwdGen’de oluşturucu Web Crypto kullanır, sonucu sayfada görüntüler ve yalnızca kopyala düğmesine tıkladığınızda panoya yazar.

Doğrulamanız gerekenler

Geliştirici araçlarını açın, Ağ panelini temizleyin, ardından bir şifre yeniden oluşturun ve kopyalayın. Oluşturulan değeri içeren Fetch, XHR veya Beacon istekleri görmemelisiniz. Ayrıca sitenin rastgelelik kaynağını açıkladığını, imkansız garantiler vermediğini ve yalnızca şifre oluşturmak için hesap oluşturmanızı istemediğini kontrol edin.

Kalan riskler

Yerel oluşturma, güvenliği ihlal edilmiş bir bilgisayarı, kötü amaçlı tarayıcı uzantısını, pano monitörünü, ekran kaydediciyi, kimlik avı sayfasını veya güvenli olmayan şifre yöneticisini koruyamaz. Oluşturulan değeri görünür olur olmaz bir sır olarak ele alın.

Ayrıntılı rehber

Bu kılavuz, çevrimiçi bir şifre oluşturucunun kullanımının güvenli olup olmadığını değerlendirmeye odaklanır. Sunucu tarafı şifre işleme olmadan tarayıcı rahatlığı isteyen gizlilik bilincine sahip kullanıcılar için yazılmıştır, bu nedenle pratik amaç dramatik bir güvenlik iddiası oluşturmak değildir. Amaç, günlük kullanımda hayatta kalabilecek bir şifre alışkanlığı seçmektir: oturum açma formları, şifre yöneticileri, mobil klavyeler, hesap kurtarma, paylaşılan cihazlar ve ara sıra garip doğrulama kuralları olan hizmetler. Güvenli bir öneri, yalnızca gerçek bir kişi onu tutarlı bir şekilde takip edebiliyorsa kullanışlıdır.

En güvenli başlangıç noktası rastgelelik artı benzersizliktir. Rastgelelik, değerin bir doğum günü, evcil hayvan adı, klavye deseni veya favori alıntıdan icat edilmediği, kriptografik olarak uygun bir rastgele kaynak tarafından geniş bir alandan seçildiği anlamına gelir. Benzersizlik, aynı şifrenin başka hiçbir yerde kullanılmadığı anlamına gelir. Uzun ancak yeniden kullanılan bir şifre, ilgisiz bir ihlalden sonra hızla başarısız olabilirken, benzersiz bir rastgele şifre hasarı yalnızca kullanıldığı tek hesapla sınırlar.

Bu konu için pratik bir ön ayar, Web Crypto ile tarayıcı-yerel oluşturma ve oluşturulan değerlerin sunucuya gönderilmemesidir. Bu ön ayarı çevrimdışı şifre oluşturucu ile uygulayabilir ve ardından nihai değeri güvenilir bir şifre yöneticisinde saklayabilirsiniz. PwdGen, değerleri Web Crypto ile tarayıcıda yerel olarak oluşturur; oluşturulan şifre bir PwdGen sunucusuna gönderilmez. Bu yerel tasarım sunucu tarafı maruziyetini azaltır, ancak her tehdide karşı koruma sağlamaz. Kötü amaçlı bir tarayıcı uzantısı, güvenliği ihlal edilmiş bir cihaz, kimlik avı sayfası veya güvenli olmayan pano işleme, oluşturulduktan sonra bir sırrı ifşa edebilir.

Kaçınılması gereken en yaygın sorunlar sunucu tarafından oluşturulan şifreler, şifre alanlarının yakınındaki üçüncü taraf komut dosyaları, müdahaleci analitikler, kopya klonlar ve sayfa erişimi olan tarayıcı uzantılarıdır. Bu sorunlar önemlidir çünkü saldırganlar, insan alışkanlıkları onlara bir kısayol verdiğinde nadiren her olası şifreyi kaba kuvvetle denemek zorunda kalırlar. Kimlik bilgisi doldurma, kimlik avı, sızdırılmış şifre listeleri ve hesap kurtarma kötüye kullanımı, saf matematiksel bir aramadan genellikle daha gerçekçidir. Bu nedenle en iyi tavsiye, şifre kalitesini MFA, geçiş anahtarları, kurtarma kodu depolama ve kurtarma e-postası veya telefon ayarlarının düzenli olarak gözden geçirilmesi gibi hesap düzeyindeki kontrollerle birleştirir.

Öneriyi uygularken bu kontrol listesini kullanın:

• Yerel oluşturma açıklaması arayın.
• Temel oluşturma için hesap gerektiren araçlardan kaçının.
• Gizlilik ve metodoloji sayfalarını kontrol edin.
• Yüksek değerli kimlik bilgilerini işlerken çevrimdışı modu kullanın.

Bir web sitesi ideal ayarı reddederse, şifreyi elle daha zayıf bir kalıba zorlamayın. Her seferinde bir değişkeni ayarlayın. Semboller reddedilirse, büyük harf, küçük harf ve sayıları etkin bırakın ve uzunluğu artırın. Maksimum uzunluk düşükse, kabul edilen en büyük uzunluğu kullanın ve değerin benzersiz olduğundan emin olun. Bir şifre yüksek sesle okunacak, yazdırılacak veya bir televizyon veya yönlendirici ekranında yazılacaksa, kafa karıştırıcı karakterleri hariç tutmayı ve daha küçük alfabeyi telafi etmek için uzunluğu artırmayı düşünün.

Son olarak, şifre tavsiyesinin sınırını hatırlayın. Güçlü bir şifre bir savunma katmanıdır, bir garanti değildir. Kimlik avı sayfasını güvenli hale getiremez, kötü amaçlı yazılımı düzeltemez veya kimlik bilgilerini kötü depolayan bir hizmeti telafi edemez. Yararlı alışkanlık sıkıcı ama dayanıklıdır: benzersiz bir değer oluşturun, güvenli bir şekilde saklayın, kurtarma yolunu koruyun ve maruz kalmadan şüpheleniyorsanız hızla değiştirin.

Sıkça sorulan sorular

Yerel olarak çalışan çevrimiçi bir oluşturucu güvenli midir?

Sunucu tarafı oluşturmadan daha güvenli olabilir çünkü oluşturulan değerin tarayıcıdan çıkması gerekmez, ancak cihaz ve tarayıcı güveni yine de önemlidir.

Birini kullanmadan önce neyi kontrol etmeliyim?

Yerel oluşturma, Web Crypto, şifre içeren isteklerin olmaması, bir gizlilik politikası ve net bir metodoloji arayın.

Yerel oluşturma kötü amaçlı yazılımlara karşı koruma sağlayabilir mi?

Hayır. Kötü amaçlı yazılım, kötü amaçlı uzantılar, güvenli olmayan pano yöneticileri ve kimlik avı sayfaları, bir oluşturucunun koruma sınırının dışındadır.