web-dev-qa-db-ja.com

オンラインでパスワードを生成しても安全ですか?

通常、強力なパスワードは さまざまなオンラインツール を使用して生成します。先ほど友人にそのことを話しましたが、私はそんな危険なことをしていると彼はショックを受けました。オンラインでパスワードを生成するのは本当に安全ですか?貼り付けた場所を追跡するある種のクッキーが生成される可能性はありますか?

22
Ondrej Slinták

いいえ。パスワードをオンラインで生成するのは安全ではありません。やめろ!

理論的には、それほど悪くないパスワードジェネレータを構築する方法がいくつかあります(たとえば、Javascriptで実行したり、ローカルマシンで実行したりするなど)。ただし、実際には、平均的なユーザーが検出することを期待できないほど多くの落とし穴があります。したがって、私はそれをお勧めしません。

たとえば、平均的なユーザーは、パスワードジェネレーターが実際にパスワードがサイトを離れることがないことを確認しているかどうかを調べる方法はありません。平均的なユーザーは、Webサイトがパスワードのコピーを保持していないことを確認する方法がありません。平均的なユーザーは、パスワード生成コードが適切なエントロピーを使用していることを確認する方法がありません(この目的で使用する明らかなJavascriptのMath.random()は、優れた疑似乱数ジェネレーターではありません)。

25
D.W.

パスワードジェネレーターがJavaScriptを使用しないからといって安全ではないというわけではありませんが、サーバーがIPアドレスで送信されたパスワードを保存するのは簡単です。これが問題になる場合は、パスワードの数文字を簡単に変更できます。 GRC Ultra High Security Password Generator はJavaScriptを使用しませんが、「このページは、スヌーププルーフおよびプロキシプルーフプルーフの高セキュリティSSL接続を介してのみ表示されます。 1999年に失効しました。」このページの各「インスタンス」には複数のパスワードがあるため、GRCがそれらをログに記録したとしても(私はそうはしないと思います)、どちらを選択したかを知りません。それでもJavaScriptベースのジェネレータが必要な場合 これは1つです です。

1
Celeritas

このツールを試すことができます https://thedevband.com/generate-password.html このツールはオフラインで機能するため、以下を試すことができます。

  1. 任意のブラウザでツールを開きます。
  2. インターネットを切断します。
  3. ツールを使用してパスワードを生成します。
  4. ブラウザのすべてのキャッシュをクリアします。
  5. 作業を続行するには、もう一度コンピューターをインターネットに接続してください。

この方法では、このツールはあなたのパスワードを収集して保存することができません。ツールは合法ですが、念のためこれらの手順を実行できます。

0
Tung Nguyen