Hướng dẫn bảo mật
Hỗ trợ trình duyệt cho Tạo mật khẩu cục bộ
Tìm hiểu cách PwdGen hoạt động trên Chrome, Edge, Safari, Firefox và trình duyệt di động, cũng như điều gì xảy ra nếu Web Crypto không khả dụng.
Tóm tắt
PwdGen được xây dựng cho các trình duyệt hiện đại hỗ trợ Web Crypto API. Việc tạo mật khẩu, ước tính độ mạnh mật khẩu, công cụ cụm mật khẩu và các tiện ích cục bộ chạy trên trình duyệt thay vì trên máy chủ PwdGen. Thiết kế đó hoạt động trên Chrome, Edge, Safari, Firefox và các trình duyệt di động hiện tại khi crypto.getRandomValues() khả dụng.
Hỗ trợ Chrome
Chrome hỗ trợ Web Crypto trong các ngữ cảnh bảo mật và là trình duyệt chính được sử dụng để kiểm tra phát triển PwdGen. Gói tiện ích mở rộng Chrome tuân theo cùng mô hình chỉ cục bộ: không có tập lệnh từ xa, không có quyền máy chủ và không lưu trữ mật khẩu.
Hỗ trợ Edge
Microsoft Edge dựa trên Chromium và hỗ trợ các nguyên thủy Web Crypto giống như PwdGen sử dụng. Trong sử dụng thông thường, người dùng Edge có thể tạo, sao chép và đánh giá mật khẩu cục bộ giống như người dùng Chrome.
Hỗ trợ Safari
Safari hỗ trợ Web Crypto trên các bản phát hành macOS và iOS hiện đại. Người dùng Safari di động nên nhớ rằng mật khẩu đã sao chép có thể vẫn còn trong bộ nhớ tạm của hệ thống cho đến khi được thay thế, và nên sử dụng iCloud Keychain hoặc trình quản lý mật khẩu khác để lưu trữ lâu dài.
Hỗ trợ Firefox
Firefox hỗ trợ crypto.getRandomValues() và có thể chạy trình tạo cục bộ. Một số môi trường kiểm tra cục bộ tự động đã gặp sự cố đặt lại kết nối không liên quan đến hành vi trang, vì vậy việc xác minh sản xuất tập trung vào API trình duyệt và ranh giới quyền riêng tư thay vì một harness cục bộ.
Hỗ trợ trình duyệt di động
Trình duyệt di động có thể tạo mật khẩu ngẫu nhiên an toàn miễn là chúng hỗ trợ Web Crypto. Bố cục PwdGen giữ các nút đủ lớn để tương tác cảm ứng và giữ mật khẩu được tạo theo hướng trái sang phải ngay cả trong các ngôn ngữ RTL.
Yêu cầu Web Crypto
PwdGen yêu cầu một nguồn ngẫu nhiên mật mã. Trình tạo yêu cầu các byte ngẫu nhiên từ crypto.getRandomValues() và ánh xạ chúng đến các lựa chọn ký tự bằng phương pháp lấy mẫu loại bỏ. Điều này tránh sử dụng Math.random(), vốn không được chỉ định cho mục đích nhạy cảm với bảo mật.
Nếu Web Crypto không khả dụng
PwdGen thất bại an toàn. Trang vẫn có thể đọc được, nhưng các điều khiển mật khẩu bị vô hiệu hóa và một cảnh báo giải thích rằng việc tạo an toàn yêu cầu trình duyệt hiện đại. Tốt hơn là không hiển thị mật khẩu được tạo ra hơn là âm thầm tạo thông tin xác thực yếu.
Tuyên bố tạo chỉ cục bộ
Việc tạo và kiểm tra chạy trên trình duyệt. PwdGen không tải lên mật khẩu được tạo, mật khẩu hiện có được nhập vào trình kiểm tra, cụm mật khẩu hoặc các giá trị đã xuất. Tạo cục bộ không thể bảo vệ thiết bị bị xâm phạm, tiện ích mở rộng độc hại, bộ nhớ tạm không an toàn, trang lừa đảo hoặc dịch vụ đích có lưu trữ mật khẩu yếu.
Để biết chi tiết triển khai, hãy đọc phương pháp bảo mật và sách trắng tạo mật khẩu phía máy khách.
Các câu hỏi thường gặp
PwdGen hỗ trợ những trình duyệt nào?
PwdGen được thiết kế cho các phiên bản hiện đại của Chrome, Edge, Safari, Firefox và các trình duyệt di động hiện tại hỗ trợ Web Crypto API.
Điều gì xảy ra nếu Web Crypto không khả dụng?
Các điều khiển mật khẩu bị vô hiệu hóa và một cảnh báo tương thích được hiển thị. PwdGen không dự phòng sang Math.random() để tạo mật khẩu.
Hỗ trợ trình duyệt có thay đổi mô hình quyền riêng tư không?
Không. Trong các trình duyệt được hỗ trợ, việc tạo và đánh giá chạy cục bộ. Các giới hạn quyền riêng tư chính là thiết bị, tiện ích mở rộng trình duyệt, bộ nhớ tạm và dịch vụ đích.