安全指南

本地密碼生成的瀏覽器支援

Q: 如果 Web Crypto 不可用會發生什麼？

密碼控制項被停用，並顯示相容性警告。PwdGen 不會回退到 Math.random 進行密碼生成。

了解 PwdGen 如何在 Chrome、Edge、Safari、Firefox 及行動瀏覽器中運作，以及當 Web Crypto 不可用時會發生什麼情況。

摘要

PwdGen 專為支援 Web Crypto API 的現代瀏覽器而設計。密碼生成、密碼強度評估、密碼短語工具及本地工具均在瀏覽器中執行，而非在 PwdGen 伺服器上。當 crypto.getRandomValues() 可用時，此設計可在 Chrome、Edge、Safari、Firefox 及當前行動瀏覽器中運作。

Chrome 支援

Chrome 在安全環境中支援 Web Crypto，是 PwdGen 開發檢查的主要瀏覽器。Chrome 擴充套件遵循相同的純本地模式：無遠端腳本、無主機權限、無密碼儲存。

Edge 支援

Microsoft Edge 基於 Chromium，支援 PwdGen 使用的相同 Web Crypto 原語。正常使用下，Edge 使用者可以像 Chrome 使用者一樣在本地生成、複製和評估密碼。

Safari 支援

Safari 在現代 macOS 和 iOS 版本上支援 Web Crypto。行動 Safari 使用者應注意，複製的密碼可能會保留在系統剪貼簿中直到被取代，且應使用 iCloud 鑰匙圈或其他密碼管理器進行長期儲存。

Firefox 支援

Firefox 支援 crypto.getRandomValues() 並可在本地執行生成器。某些自動化本地測試環境曾發生與頁面行為無關的連線重置問題，因此生產驗證側重於瀏覽器 API 和隱私邊界，而非單一本地測試環境。

行動瀏覽器支援

只要行動瀏覽器暴露 Web Crypto，即可生成安全的隨機密碼。PwdGen 佈局保持按鈕足夠大以便觸控互動，並在 RTL 語言環境中保持生成的密碼從左到右顯示。

Web Crypto 需求

PwdGen 需要加密隨機來源。生成器從 crypto.getRandomValues() 請求隨機位元組，並透過拒絕抽樣將其映射到字元選擇。這避免了使用 Math.random()，因為後者未指定用於安全敏感用途。

如果 Web Crypto 不可用

PwdGen 會安全關閉。頁面仍可閱讀，但密碼控制項被停用，並顯示警告說明安全生成需要現代瀏覽器。與其靜默建立弱憑證，不如不顯示生成的密碼。

純本地生成聲明

生成和檢查均在瀏覽器中執行。PwdGen 不會上傳生成的密碼、輸入到檢查器的現有密碼、密碼短語或匯出的值。本地生成無法保護受損裝置、惡意擴充套件、不安全的剪貼簿、釣魚頁面或使用弱密碼儲存的目標服務。

有關實作細節，請閱讀安全方法和客戶端密碼生成白皮書。

常見問題

PwdGen 支援哪些瀏覽器？

PwdGen 專為支援 Web Crypto API 的現代版本 Chrome、Edge、Safari、Firefox 及當前行動瀏覽器而設計。

如果 Web Crypto 不可用會發生什麼？

密碼控制項被停用，並顯示相容性警告。PwdGen 不會回退到 Math.random() 進行密碼生成。

瀏覽器支援會改變隱私模型嗎？

不會。在支援的瀏覽器中，生成和評估在本地執行。主要的隱私限制在於裝置、瀏覽器擴充套件、剪貼簿和目標服務。