web-dev-qa-db-fra.com

Est-il sûr de générer des mots de passe en ligne?

Je génère généralement des mots de passe forts en utilisant divers outils en ligne . Il y a quelque temps, j'en ai parlé à un de mes amis et il a été choqué que je fasse une chose aussi dangereuse. Est-il vraiment si dangereux de générer des mots de passe en ligne? Pourrait-il être généré une sorte de cookie qui suit où je l'ai collé?

22
Ondrej Slinták

Non. Il n'est pas sûr de générer des mots de passe en ligne. Ne fais pas ça!

En théorie, il existe certaines façons de créer un générateur de mot de passe qui n'est pas si mauvais (par exemple, l'exécuter en Javascript, sur votre machine locale, etc.). Cependant, dans la pratique, il y a trop d'embûches qu'un utilisateur moyen ne peut pas s'attendre à détecter. Par conséquent, je ne le recommande pas.

Par exemple, un utilisateur moyen n'a aucun moyen de vérifier si le générateur de mot de passe garantit effectivement que le mot de passe ne quitte jamais votre site. L'utilisateur moyen n'a aucun moyen de vérifier que le site Web ne conserve pas une copie de votre mot de passe. L'utilisateur moyen n'a aucun moyen de vérifier que le code de génération de mot de passe utilise une bonne entropie (et Math.random () de Javascript, ce qui est évident à utiliser à cette fin, n'est pas un excellent générateur de nombres pseudo-aléatoires).

25
D.W.

Ce n'est pas parce qu'un générateur de mot de passe n'utilise pas JavaScript qu'il n'est pas sûr, mais il serait facile pour le serveur de stocker le mot de passe envoyé avec votre adresse IP. S'il s'agit d'un problème, il serait facile de modifier quelques caractères dans le mot de passe. GRC Ultra High Security Password Generator n'utilise pas JavaScript mais "cette page ne se laisse afficher que sur une connexion SSL haute sécurité à l'épreuve des espions et des proxy, et elle est marquée comme ayant a expiré en 1999 ". Chaque "instance" de cette page a plusieurs mots de passe, donc même si GRC les a enregistrés (ce que je doute), ils ne sauraient pas lequel vous avez choisi d'utiliser. Si vous voulez toujours un générateur basé sur JavaScript en voici un .

1
Celeritas

Vous pouvez essayer cet outil https://thedevband.com/generate-password.html Cet outil fonctionne hors ligne, vous pouvez donc essayer ce qui suit:

  1. Ouvrez l'outil sur n'importe quel navigateur.
  2. Déconnectez Internet.
  3. Utilisez l'outil pour générer un mot de passe.
  4. Videz tout le cache de votre navigateur.
  5. Connectez-vous à votre ordinateur à Internet à nouveau pour continuer votre travail.

De cette façon, cet outil ne peut pas collecter et stocker vos mots de passe. L'outil est légitime mais vous pouvez faire ces étapes juste pour vous en assurer.

0
Tung Nguyen