Generalmente creo password complesse utilizzando vari strumenti online . Qualche tempo fa ne ho parlato con un mio amico ed è rimasto scioccato dal fatto che io faccia una cosa così pericolosa. È davvero così pericoloso generare password online? Potrebbe esserci un qualche tipo di cookie che tiene traccia di dove l'ho incollato?
No. Non è sicuro generare password online. Non farlo!
In teoria ci sono alcuni modi in cui è possibile creare un generatore di password che non sia poi così male (ad esempio, eseguirlo in Javascript, sul computer locale e così via). Tuttavia, nella pratica, ci sono troppe insidie che non ci si può aspettare che un utente medio possa rilevare. Di conseguenza, non lo consiglio.
Ad esempio, un utente medio non ha modo di controllare se il generatore di password effettivamente garantisce che la password non lasci mai il tuo sito. L'utente medio non ha modo di verificare che il sito web non stia conservando una copia della tua password. L'utente medio non ha modo di verificare che il codice di generazione della password stia usando una buona entropia (e il Math.random di Javascript (), che è la cosa ovvia da usare per questo scopo, non è un grande generatore di numeri pseudocasuali).
Solo perché un generatore di password non usa JavaScript non significa che non sia sicuro, tuttavia sarebbe facile per il server memorizzare la password inviata con il tuo indirizzo IP. Se questo è un problema, sarebbe facile cambiare alcuni caratteri nella password. Il generatore di password ad altissima sicurezza GRC non utilizza JavaScript, ma "questa pagina si limiterà a essere visualizzata su un connessione SSL ad alta sicurezza a prova di prova e proxy ed è stata contrassegnata come scaduta nel 1999 ". Ogni "istanza" di questa pagina ha più password, quindi anche se GRC le ha registrate (cosa che dubito che facciano) non saprebbero quale è stata scelta per l'uso. Se desideri comunque un generatore basato su JavaScript qui è uno .
Puoi provare questo strumento link Questo strumento funziona offline, quindi puoi provare quanto segue:
In questo modo, questo strumento non può raccogliere e memorizzare le tue password. Lo strumento è legittimo ma puoi fare questi passaggi solo per assicurarti.
Se la password viene generata localmente in JavaScript e non c'è traffico verso il server, dovresti stare bene.
Se la password era memorizzata in un cookie, sarebbe visibile solo dal sito da cui proveniva, a causa della stessa politica di origine. Potresti anche rilevarlo controllando i tuoi cookie.
La loro è la possibilità di divulgazione di informazioni se si utilizza un bookmarklet come quello di link (JavaScript in un segnalibro). Il bookmarklet è archiviato localmente, ma viene eseguito nel contesto del sito in cui ci si trova, quindi se c'è JavaScript in esecuzione da quel sito che è configurato per rilevare il bookmarklet, potrebbe accedere alle informazioni che il bookmarklet, utilizza, richiede e genera .