Beveiligings- en privacymodel

Alles wordt in je browser gegenereerd

Alle wachtwoordzinnen, wachtwoorden en tokens worden lokaal aangemaakt, op je apparaat, door JavaScript dat in je browser draait. Er is geen generatiestap aan de serverkant. De pagina is in feite een statisch hulpmiddel: zodra ze is geladen, doet ze haar werk zonder met een backend te praten.

Je geheimen worden nooit verzonden of opgeslagen

De waarden die je genereert worden niet over het netwerk verzonden, niet naar een logbestand geschreven, niet in een account opgeslagen en niet in een cookie geplaatst. Er zijn helemaal geen gebruikersaccounts. De enige analyse is een privacyvriendelijk, cookieloos hulpmiddel dat anonieme paginabezoeken telt — het ontvangt nooit de geheimen die je genereert.

Welke bron van willekeur wordt gebruikt

Willekeur komt van de Web Crypto API (crypto.getRandomValues), de cryptografisch veilige willekeurige getallengenerator die in moderne browsers is ingebouwd. Wanneer de generator willekeurige bytes afbeeldt op een woordenlijst of tekenset, gebruikt ze rejection sampling om modulo-vertekening te vermijden, zodat elk woord of teken even waarschijnlijk is. Ze gebruikt nooit Math.random voor geheimen.

Hoe entropie wordt geschat

Omdat het hulpmiddel de woorden en tekens zelf kiest, kent het de exacte omvang van de poel waaruit elk is getrokken en berekent het de entropie rechtstreeks: bits = lengte × log2(poelomvang). Het gebruikt geen heuristische sterktemeter, die echt willekeurige geheimen zou onderschatten. De kraaktijdcijfers zijn illustratief, gebaseerd op aangenomen raadsnelheden, en de kwantuminschatting weerspiegelt alleen de kwadratische versnelling van Grover.

Waartegen dit hulpmiddel wel en niet kan beschermen

Het kan je een geheim met hoge entropie geven dat raden en offline kraken weerstaat. Het kan je niet beschermen tegen een gecompromitteerd apparaat, een keylogger, malware, meekijken over je schouder, phishing, of een dienst die je wachtwoord slecht opslaat. Sterke generatie is één laag; veilige opslag en goede gewoonten zijn de andere.

Behandel de uitvoer als gevoelig vanaf het moment dat ze op het scherm verschijnt. Kopieer ze naar je wachtwoordmanager en wis daarna je klembord als je op een gedeelde machine zit.

Praktisch advies waar we achter staan

Gebruik een gerenommeerde wachtwoordmanager zodat elk account een uniek geheim heeft en je maar één sterke wachtwoordzin hoeft te onthouden. Hergebruik nooit een wachtwoordzin of wachtwoord over meerdere diensten. Zet tweefactorauthenticatie aan waar die wordt aangeboden. Geef de voorkeur aan lengte boven complexiteit. En houd je apparaten en browser up-to-date — het sterkste geheim kan een gecompromitteerde machine niet helpen.

Offline gebruik en JavaScript

De generatoren vereisen JavaScript, omdat het cryptografische werk in de browser gebeurt; met JavaScript uitgeschakeld kan het hulpmiddel geen geheimen produceren. Zodra de pagina is geladen, werkt ze offline — je kunt de netwerkverbinding verbreken en blijven genereren, wat een redelijke manier is om een waardevol geheim aan te maken met extra zekerheid dat niets je machine verlaat.