Інструмент паролів Назад до генератора

Посібник з безпеки

Підтримка браузерів для локальної генерації паролів

Дізнайтеся, як PwdGen працює в Chrome, Edge, Safari, Firefox та мобільних браузерах, і що відбувається, якщо Web Crypto недоступний.

Підсумок

PwdGen створено для сучасних браузерів, які підтримують Web Crypto API. Генерація паролів, оцінка їхньої стійкості, інструменти для фраз-паролів та локальні утиліти працюють у браузері, а не на сервері PwdGen. Така архітектура працює в Chrome, Edge, Safari, Firefox та сучасних мобільних браузерах, коли доступний crypto.getRandomValues().

Підтримка Chrome

Chrome підтримує Web Crypto в безпечних контекстах і є основним браузером для перевірок розробки PwdGen. Пакет розширення Chrome дотримується тієї ж локальної моделі: без віддалених скриптів, без дозволів на хост і без зберігання паролів.

Підтримка Edge

Microsoft Edge базується на Chromium і підтримує ті самі примітиви Web Crypto, які використовує PwdGen. У звичайному використанні користувачі Edge можуть локально генерувати, копіювати та оцінювати паролі так само, як і користувачі Chrome.

Підтримка Safari

Safari підтримує Web Crypto на сучасних версіях macOS та iOS. Користувачі мобільного Safari повинні пам’ятати, що скопійовані паролі можуть залишатися в системному буфері обміну до заміни, а для довгострокового зберігання слід використовувати iCloud Keychain або інший менеджер паролів.

Підтримка Firefox

Firefox підтримує crypto.getRandomValues() і може запускати генератор локально. Деякі автоматизовані локальні тестові середовища мали проблеми зі скиданням з’єднання, не пов’язані з поведінкою сторінки, тому перевірка в продакшені зосереджена на браузерному API та межі приватності, а не на локальному оточенні.

Підтримка мобільних браузерів

Мобільні браузери можуть генерувати безпечні випадкові паролі, якщо вони надають Web Crypto. Макет PwdGen зберігає кнопки достатньо великими для сенсорної взаємодії та залишає згенеровані паролі напрямком зліва направо навіть у локалях з письмом справа наліво.

Вимоги до Web Crypto

PwdGen потребує криптографічного джерела випадковості. Генератор запитує випадкові байти з crypto.getRandomValues() і відображає їх на символи за допомогою вибірки з відхиленням. Це дозволяє уникнути використання Math.random(), яке не призначене для чутливих до безпеки застосувань.

Якщо Web Crypto недоступний

PwdGen закривається безпечно. Сторінка залишається читабельною, але елементи керування паролями вимикаються, і з’являється попередження про те, що для безпечної генерації потрібен сучасний браузер. Краще не показувати згенерований пароль, ніж мовчки створювати слабкі облікові дані.

Заява про локальну генерацію

Генерація та перевірка виконуються в браузері. PwdGen не завантажує згенеровані паролі, існуючі паролі, введені в перевірник, фрази-паролі або експортовані значення. Локальна генерація не може захистити від скомпрометованого пристрою, шкідливого розширення, небезпечного буфера обміну, фішингової сторінки або цільового сервісу зі слабким зберіганням паролів.

Деталі реалізації дивіться в методології безпеки та технічному описі клієнтської генерації паролів.

Часті запитання

Які браузери підтримує PwdGen?

PwdGen призначений для сучасних версій Chrome, Edge, Safari, Firefox та поточних мобільних браузерів, які надають Web Crypto API.

Що станеться, якщо Web Crypto недоступний?

Елементи керування паролями вимикаються, і показується попередження про сумісність. PwdGen не використовує Math.random() для генерації паролів.

Чи змінює підтримка браузера модель приватності?

Ні. У підтримуваних браузерах генерація та оцінка виконуються локально. Основними обмеженнями приватності є пристрій, розширення браузера, буфер обміну та цільовий сервіс.

Джерела