Tools Blog

Feltörhetetlen jelszavak generálása (és miért kockázatosak az online generátorok)

Secure Password Generation

Mindannyian ismerjük a szabályokat: használjunk nagybetűket, számokat és szimbólumokat. Ne használja a „password123”-at. De ahogy a számítási teljesítmény növekszik, és a mesterséges intelligencia által vezérelt brute force támadások kifinomultabbá válnak, a „biztonságos” jelszóra vonatkozó szabályok megváltoznak.

Az entrópia ereje

A kriptográfiában a jelszó erősségét entrópiában mérik. Kiszámítja, hogy a támadónak hány lehetséges kombinációt kell kitalálnia a jelszó feltöréséhez. Az entrópiát két tényező határozza meg: a jelszó hossza és a használt karakterkészlet.

A 16 karakterből álló, kizárólag kisbetűkből álló jelszót valójában exponenciálisan nehezebb feltörni, mint egy 8 karakterből álló, számokkal és szimbólumokkal teli jelszót. A hosszúság felülmúlja az összetettséget.

Biztonságos jelszavak biztonságos létrehozása

Hozzon létre titkosításilag erős jelszavakat offline módban. Kliensoldali generátorunk biztosítja, hogy új jelszava soha ne hagyja el az eszközt.

Nyissa meg az Offline jelszógenerátort

A felhőjelszógenerátorok rejtett veszélye

Ha a Google "jelszógenerátort" használja, több száz webhelyet találhat, amelyek biztonságos karakterlánc létrehozását kínálják Önnek. A legtöbbjüknél azonban van egy alapvető hiba: generálják a jelszót a háttérkiszolgálójukon, és elküldik a böngésződnek.

Miért rossz ez?

  • Szervernaplók: Lehet, hogy a jelszót létrehozó szerver naplózza azt. Ha ezt az adatbázist feltörik, a „biztonságos” jelszava még azelőtt nyilvánosságra kerül, mielőtt még használná.
  • Hálózati elfogás: Az egyszerű szöveges jelszavak interneten keresztüli küldése még HTTPS-en keresztül is szükségtelen kockázatot jelent.
  • Nyomon követés: A rosszindulatú webhelyek a generált jelszót az Ön IP-címéhez és az Ön által elérni kívánt webhelyhez köthetik.

Az ügyféloldali megoldás

A webalapú jelszógenerátor használatának egyetlen igazán biztonságos módja az, ha az 100%-ban kliens oldalon működik. Ez azt jelenti, hogy a JavaScript crypto.getRandomValues() API-ját közvetlenül a böngészőben kell használni.

Amikor ügyféloldali jelszót hoz létre, a rendszer nem küld adatokat a hálózaton keresztül. A jelszó az Ön gépén születik, és a gépén is marad, így biztosítva az abszolút titkosítási adatvédelmet.