Trình tạo mật khẩu Mongodb

Tạo thông tin đăng nhập cơ sở dữ liệu URL-safe MongoDB cục bộ và xem xét SCRAM-SHA-256, mã hóa chuỗi kết nối, TLS, đặc quyền tối thiểu và xoay vòng bí mật.

Tạo cục bộ · không tải lên hay lưu lại

Mật khẩu đã tạo

Mặc định 10 ký tự · 10 mật khẩu · chữ hoa + chữ thường + số

Cài đặt

Độ dài mật khẩu

Khoảng 6–128 ký tự · tự động tạo lại

Số lượng mật khẩu

Ký tự và bộ lọc Kết hợp an toàn mặc định · 3 nguồn + 2 bộ lọc

Bao gồm ký hiệu-_#+* Bao gồm số123456 Bao gồm chữ thườngabcdef Bao gồm chữ hoaABCDEF Loại ký tự giống nhau0/O/o、1/I/l Loại ký hiệu dễ nhầm, . ; : ' " · ~ / \ ( ) { } [ ] < > ?

Mức độ an toàn

Mạnh

Mọi kết quả đều được tạo cục bộ với Web Crypto. Độ mạnh phụ thuộc vào độ dài đã chọn, chế độ, chính sách đích và liệu thông tin xác thực có còn duy nhất hay không.

Bảng chữ cái hiện tại: 68 ký tự
Trần entropy: 146.1 bit
Trung bình ở 10 tỷ lần đoán/giây: 1.51e26 years

Phân tích cục bộ minh bạch

Tính ngẫu nhiên và phân bố ký tự

Biểu đồ này tóm tắt lô đã tạo hiện tại mà không tiết lộ văn bản mật khẩu. Một mẫu nhỏ không thể chứng minh chất lượng của bộ sinh số ngẫu nhiên.

Tính ngẫu nhiên và phân bố ký tự
Kích thước mẫu	0
Trần entropy lý thuyết	—
Chữ hoa	0
Chữ thường	0
Số	0
Ký hiệu	0
Từ cụm mật khẩu lặp lại	0

Trần giả định mô hình sinh được chọn là đồng nhất. Nó không phải là sự đảm bảo cho mật khẩu được sử dụng lại, do con người chọn hoặc bị lộ.

Không gian làm việc bảo mật cục bộ

Lịch sử tạo và xuất chỉ trong phiên

Bảng này chỉ lưu siêu dữ liệu lô trong bộ nhớ phiên. Văn bản mật khẩu ở trong bộ nhớ và chỉ được xuất nếu bạn chọn rõ ràng.

Cảnh báo: các tệp đã xuất có thể chứa mật khẩu nhạy cảm. Chỉ lưu chúng ở vị trí đáng tin cậy.

Các lô cục bộ gần đây

Các lô cục bộ gần đây
Thời gian	Chế độ	Số lượng	Độ dài	Entropy

Tạo một lô mật khẩu để xem siêu dữ liệu cục bộ tại đây.

Kiểm tra an ninh địa phương

Công cụ ước tính thời gian bẻ khóa mật khẩu

Xem các từ, mẫu và độ dài phổ biến ảnh hưởng như thế nào đến thời gian tấn công ước tính.

Mật khẩu để đánh giá

Chỉ được đánh giá trong trình duyệt này. Không bao giờ tải lên, đăng nhập hoặc lưu.

Thời gian ước tính · băm nhanh ngoại tuyến (10 tỷ lần đoán/giây)

Nhập mật khẩu để ước tính

So sánh bốn kịch bản tấn công

Trực tuyến, tốc độ giới hạn (100/giờ): —
Trực tuyến, không giới hạn tốc độ (10/giây): —
Ngoại tuyến, băm chậm (10.000/giây): —
Ngoại tuyến, băm nhanh (10 tỷ/giây): —

Chỉ ước tính—không đảm bảo. Thời gian thực tế phụ thuộc vào việc lưu trữ mật khẩu, chi phí băm, phần cứng của kẻ tấn công và liệu mật khẩu có được sử dụng lại hay bị lộ hay không.

Giới thiệu về trình tạo này

Cài đặt trước này tạo một thông tin đăng nhập cơ sở dữ liệu ngẫu nhiên cho người dùng ứng dụng MongoDB. PwdGen độc lập với MongoDB và không kết nối với Atlas hoặc nhận giá trị đã tạo.

Cài đặt sẵn này bắt đầu với chế độ characters và tạo 10 kết quả độc lập mỗi lần. Mọi cài đặt hiển thị đều có thể điều chỉnh và các giá trị được tạo không được gửi đến PwdGen.

Khi nào nên sử dụng

Tạo thông tin đăng nhập mới cho trường hợp sử dụng cụ thể này
Thay thế mật khẩu yếu hoặc đã dùng lại
Tạo giá trị cục bộ trước khi lưu trữ an toàn

Kích thước bảng chữ cái, entropy và giả định brute-force

Trần entropy lý thuyết được tính là H = L × log2(A), trong đó L là độ dài được tạo và A là số ký tự hiện được phép.

Độ dài	Bảng chữ cái	Không gian tìm kiếm	Trần entropy	Trung bình ở 10 tỷ lần đoán/giây
24	68	68²⁴	146.1 bit	1.51e26 years

Quan trọng: đây là các ước tính toán học cho các giá trị ngẫu nhiên đồng nhất. Các vị trí bắt buộc, số lượng hạn chế, mật khẩu lặp lại, mẫu từ điển, thông tin xác thực bị rò rỉ và chi phí băm mật khẩu thực tế có thể thay đổi kết quả đáng kể. Con số này không phải là một đảm bảo bảo mật.

Hướng dẫn triển khai thông tin xác thực MongoDB

Tạo người dùng cơ sở dữ liệu riêng biệt cho ứng dụng, quản trị viên, sao lưu và tự động hóa. Chỉ cấp cho mỗi danh tính các vai trò cần thiết và lưu trữ thông tin xác thực bên ngoài mã nguồn.

Tạo giá trị an toàn URL với Node.js

node -e "console.log(require('crypto').randomBytes(24).toString('base64url'))"

Lưu trữ MONGODB_URI trong trình quản lý bí mật hoặc biến môi trường được bảo vệ.
Mã hóa phần trăm tên người dùng và mật khẩu khi được yêu cầu bởi URI chuỗi kết nối.
Sử dụng SCRAM-SHA-256 để xác thực và TLS để bảo vệ truyền tải; cái này không thay thế cái kia.
Kết hợp thông tin xác thực với Danh sách truy cập IP Atlas hoặc các biện pháp kiểm soát mạng tương đương.
Luân chuyển thông tin xác thực khi nghi ngờ bị lộ và xác minh rằng thông tin xác thực cũ đã bị thu hồi.

Cách sử dụng kết quả một cách an toàn

Kiểm tra quy tắc mật khẩu hiện tại của đích đến
Sử dụng kết quả duy nhất và bật MFA nếu có
Lưu trữ mã khôi phục riêng biệt với mật khẩu

Hạn chế quan trọng: Mật khẩu mạnh không thay thế TLS, kiểm soát mạng, vai trò đặc quyền tối thiểu, sao lưu, giám sát hoặc xử lý chuỗi kết nối an toàn.

Phương pháp tạo và quyền riêng tư

Cài đặt sẵn sử dụng Web Crypto API của trình duyệt để chọn ngẫu nhiên. Việc tạo lại, thay đổi cài đặt, chọn và sao chép kết quả không gửi thông tin xác thực được tạo đến PwdGen. Công cụ ước tính thời gian bẻ khóa mật khẩu cũng chạy cục bộ và là ước tính, không phải đảm bảo.

Trình tạo mật khẩu Mongodb FAQ

Tôi có thể đặt mật khẩu MongoDB trực tiếp trong chuỗi kết nối không?

Tránh mã hóa cứng nó. Lưu trữ chuỗi kết nối trong trình quản lý bí mật hoặc biến môi trường được bảo vệ, và mã hóa phần trăm các ký tự tên người dùng hoặc mật khẩu khi định dạng URI yêu cầu.

SCRAM-SHA-256 có thay thế TLS không?

Không. SCRAM xác thực người dùng cơ sở dữ liệu, trong khi TLS bảo vệ lưu lượng truy cập trong quá trình vận chuyển. Các triển khai sản xuất thường cần cả hai cùng với các kiểm soát truy cập mạng phù hợp.

Mọi ứng dụng MongoDB có nên sử dụng một người dùng cơ sở dữ liệu riêng không?

Có. Các danh tính ứng dụng, quản trị viên, sao lưu và tự động hóa riêng biệt giúp thực thi các vai trò đặc quyền tối thiểu, kiểm toán và xoay vòng thông tin đăng nhập dễ dàng hơn.

Chọn quốc gia, khu vực và ngôn ngữ

Châu Mỹ

Châu Âu, Trung Đông và Châu Phi

Châu Á và Thái Bình Dương

Khu vực & Toàn cầu