Model bezpieczeństwa i prywatności

Wszystko jest generowane w Twojej przeglądarce

Wszystkie hasła frazowe, hasła i tokeny powstają lokalnie, na Twoim urządzeniu, dzięki kodowi JavaScript działającemu w Twojej przeglądarce. Nie ma żadnego etapu generowania po stronie serwera. Strona jest w praktyce statycznym narzędziem: gdy się wczyta, wykonuje swoją pracę bez kontaktu z zapleczem.

Twoje sekrety nigdy nie są wysyłane ani przechowywane

Wartości, które generujesz, nie są przesyłane przez sieć, zapisywane w logach, zapisywane na koncie ani umieszczane w pliku cookie. W ogóle nie ma kont użytkowników. Jedyna analityka to przyjazne prywatności narzędzie bez plików cookie, które zlicza anonimowe wizyty na stronach — nigdy nie otrzymuje generowanych przez Ciebie sekretów.

Jakie źródło losowości jest używane

Losowość pochodzi z Web Crypto API (crypto.getRandomValues), kryptograficznie bezpiecznego generatora liczb losowych wbudowanego w nowoczesne przeglądarki. Gdy generator odwzorowuje losowe bajty na listę słów lub zestaw znaków, używa próbkowania odrzucającego, aby uniknąć obciążenia modulo, więc każde słowo lub znak jest jednakowo prawdopodobne. Nigdy nie używa Math.random do sekretów.

Jak szacowana jest entropia

Ponieważ narzędzie samo wybiera słowa i znaki, zna dokładny rozmiar puli, z której każde z nich pochodzi, i oblicza entropię wprost: bity = długość × log2(rozmiar puli). Nie używa heurystycznego miernika siły, który zaniżałby wartość naprawdę losowych sekretów. Wartości czasu złamania mają charakter poglądowy, opierają się na założonym tempie zgadywania, a szacunek kwantowy odzwierciedla jedynie kwadratowe przyspieszenie algorytmu Grovera.

Przed czym to narzędzie chroni, a przed czym nie

Może dać Ci sekret o wysokiej entropii, który opiera się odgadywaniu i łamaniu offline. Nie ochroni Cię przed zainfekowanym urządzeniem, keyloggerem, złośliwym oprogramowaniem, podglądaniem przez ramię, phishingiem ani serwisem, który źle przechowuje Twoje hasło. Silne generowanie to jedna warstwa; bezpieczne przechowywanie i dobre nawyki to pozostałe.

Traktuj wynik jako wrażliwy w chwili, gdy pojawi się na ekranie. Skopiuj go do menedżera haseł, a następnie wyczyść schowek, jeśli korzystasz ze współdzielonego urządzenia.

Praktyczne rady, za którymi stoimy

Korzystaj z renomowanego menedżera haseł, aby każde konto miało unikalny sekret, a Ty zapamiętywał tylko jedno silne hasło frazowe. Nigdy nie używaj tego samego hasła frazowego ani hasła w różnych serwisach. Włączaj uwierzytelnianie dwuskładnikowe wszędzie tam, gdzie jest dostępne. Stawiaj na długość zamiast na złożoność. I aktualizuj swoje urządzenia oraz przeglądarkę — nawet najsilniejszy sekret nie pomoże zainfekowanej maszynie.

Korzystanie offline i JavaScript

Generatory wymagają JavaScriptu, ponieważ praca kryptograficzna odbywa się w przeglądarce; z wyłączonym JavaScriptem narzędzie nie wytworzy sekretów. Gdy strona się wczyta, działa offline — możesz odłączyć się od sieci i dalej generować, co jest rozsądnym sposobem na utworzenie cennego sekretu z dodatkową pewnością, że nic nie opuszcza Twojego urządzenia.