Công cụ mật khẩu Quay lại trình tạo

Hướng dẫn bảo mật

Trình tạo mật khẩu trực tuyến có an toàn không?

Hiểu khi nào trình tạo mật khẩu trực tuyến an toàn để sử dụng, tạo cục bộ trên trình duyệt nghĩa là gì và những rủi ro nào vẫn còn.

Tóm tắt

Trình tạo mật khẩu trực tuyến có thể an toàn khi nó tạo mật khẩu cục bộ trong trình duyệt, sử dụng nguồn ngẫu nhiên mật mã và không gửi giá trị đã tạo đến máy chủ. Nó không tự động an toàn chỉ vì trang web sử dụng HTTPS hoặc trông chuyên nghiệp.

PwdGen được thiết kế xoay quanh việc tạo cục bộ. Bạn có thể đọc phương pháp luận và kiểm tra tuyên bố này trong bảng mạng của trình duyệt.

“Tạo cục bộ” nghĩa là gì

Tạo cục bộ có nghĩa là mật khẩu được chọn bởi mã chạy trong trình duyệt của bạn. Trang web có thể cung cấp trang, nhưng không cần nhận mật khẩu đã tạo. Trong PwdGen, trình tạo sử dụng Web Crypto, hiển thị kết quả trên trang và chỉ ghi vào clipboard khi bạn nhấp sao chép.

Những gì cần xác minh

Mở công cụ dành cho nhà phát triển, xóa bảng Mạng, sau đó tạo lại và sao chép mật khẩu. Bạn không nên thấy các yêu cầu Fetch, XHR hoặc Beacon chứa giá trị đã tạo. Cũng kiểm tra xem trang web có giải thích nguồn ngẫu nhiên của nó, không đưa ra các đảm bảo bất khả thi và không yêu cầu bạn tạo tài khoản chỉ để tạo mật khẩu.

Rủi ro còn lại

Tạo cục bộ không thể bảo vệ máy tính bị xâm phạm, tiện ích mở rộng trình duyệt độc hại, trình theo dõi clipboard, trình ghi màn hình, trang lừa đảo hoặc trình quản lý mật khẩu không an toàn. Hãy coi giá trị đã tạo là bí mật ngay khi nó xuất hiện.

Hướng dẫn chi tiết

Hướng dẫn này tập trung vào việc đánh giá liệu trình tạo mật khẩu trực tuyến có an toàn để sử dụng hay không. Nó được viết cho những người dùng quan tâm đến quyền riêng tư, những người muốn sự tiện lợi của trình duyệt mà không cần xử lý mật khẩu phía máy chủ, vì vậy mục tiêu thực tế không phải là tạo ra một tuyên bố bảo mật ấn tượng. Mục tiêu là chọn một thói quen mật khẩu có thể tồn tại trong sử dụng hàng ngày: biểu mẫu đăng nhập, trình quản lý mật khẩu, bàn phím di động, khôi phục tài khoản, thiết bị dùng chung và dịch vụ thỉnh thoảng có quy tắc xác thực kỳ lạ. Một khuyến nghị an toàn chỉ hữu ích nếu một người thực sự có thể tuân theo nó một cách nhất quán.

Điểm khởi đầu an toàn nhất là tính ngẫu nhiên cộng với tính duy nhất. Tính ngẫu nhiên có nghĩa là giá trị được chọn từ một không gian lớn bởi một nguồn ngẫu nhiên phù hợp về mặt mật mã, không phải được phát minh từ ngày sinh, tên thú cưng, mẫu bàn phím hoặc câu trích dẫn yêu thích. Tính duy nhất có nghĩa là cùng một mật khẩu không được sử dụng ở bất kỳ nơi nào khác. Một mật khẩu dài nhưng được sử dụng lại có thể bị lộ nhanh chóng sau một vụ rò rỉ không liên quan, trong khi một mật khẩu ngẫu nhiên duy nhất giới hạn thiệt hại cho tài khoản duy nhất nơi nó được sử dụng.

Đối với chủ đề này, một cài đặt thực tế là tạo cục bộ trên trình duyệt với Web Crypto và không gửi giá trị đã tạo lên máy chủ. Bạn có thể áp dụng cài đặt đó với trình tạo mật khẩu ngoại tuyến và sau đó lưu trữ giá trị cuối cùng trong một trình quản lý mật khẩu đáng tin cậy. PwdGen tạo giá trị cục bộ trong trình duyệt với Web Crypto; mật khẩu đã tạo không được gửi đến máy chủ PwdGen. Thiết kế cục bộ đó giảm thiểu rủi ro phía máy chủ, nhưng nó không bảo vệ khỏi mọi mối đe dọa. Một tiện ích mở rộng trình duyệt độc hại, thiết bị bị xâm phạm, trang lừa đảo hoặc xử lý clipboard không an toàn vẫn có thể làm lộ bí mật sau khi nó được tạo.

Các vấn đề phổ biến nhất cần tránh là mật khẩu do máy chủ tạo, tập lệnh bên thứ ba gần trường mật khẩu, phân tích xâm phạm, bản sao và tiện ích mở rộng trình duyệt có quyền truy cập trang. Những vấn đề này quan trọng vì kẻ tấn công hiếm khi cần brute-force mọi mật khẩu có thể khi thói quen của con người cho chúng một lối tắt. Credential stuffing, lừa đảo, danh sách mật khẩu bị rò rỉ và lạm dụng khôi phục tài khoản thường thực tế hơn là một tìm kiếm toán học thuần túy. Đó là lý do tại sao lời khuyên tốt nhất kết hợp chất lượng mật khẩu với các biện pháp kiểm soát cấp tài khoản như MFA, passkey, lưu trữ mã khôi phục và xem xét thường xuyên cài đặt email hoặc điện thoại khôi phục.

Sử dụng danh sách kiểm tra này khi áp dụng khuyến nghị:

Nếu một trang web từ chối cài đặt lý tưởng, đừng ép mật khẩu vào một mẫu yếu hơn bằng tay. Điều chỉnh một biến tại một thời điểm. Nếu ký hiệu bị từ chối, hãy giữ chữ hoa, chữ thường và số được bật và tăng độ dài. Nếu độ dài tối đa thấp, hãy sử dụng độ dài được chấp nhận lớn nhất và đảm bảo giá trị là duy nhất. Nếu mật khẩu phải được đọc to, in ra hoặc nhập trên màn hình tivi hoặc bộ định tuyến, hãy cân nhắc loại trừ các ký tự gây nhầm lẫn và tăng độ dài để bù đắp cho bảng chữ cái nhỏ hơn.

Cuối cùng, hãy nhớ ranh giới của lời khuyên về mật khẩu. Một mật khẩu mạnh là một lớp bảo vệ, không phải là sự đảm bảo. Nó không thể làm cho một trang lừa đảo an toàn, sửa phần mềm độc hại hoặc bù đắp cho một dịch vụ lưu trữ thông tin xác thực kém. Thói quen hữu ích là nhàm chán nhưng bền bỉ: tạo một giá trị duy nhất, lưu trữ an toàn, bảo vệ đường dẫn khôi phục và thay thế nhanh chóng nếu bạn nghi ngờ bị lộ.

Các câu hỏi thường gặp

Trình tạo trực tuyến có an toàn nếu nó chạy cục bộ không?

Nó có thể an toàn hơn so với tạo phía máy chủ vì giá trị đã tạo không cần rời khỏi trình duyệt, nhưng độ tin cậy của thiết bị và trình duyệt vẫn quan trọng.

Tôi nên kiểm tra gì trước khi sử dụng?

Hãy tìm kiếm tạo cục bộ, Web Crypto, không có yêu cầu chứa mật khẩu, chính sách quyền riêng tư và phương pháp luận rõ ràng.

Tạo cục bộ có thể bảo vệ khỏi phần mềm độc hại không?

Không. Phần mềm độc hại, tiện ích mở rộng độc hại, trình quản lý clipboard không an toàn và trang lừa đảo nằm ngoài ranh giới bảo vệ của trình tạo.

Nguồn