¿Es seguro generar contraseñas en línea?

21

Por lo general, genero contraseñas seguras utilizando varias herramientas en línea . Hace algún tiempo se lo mencioné a un amigo mío y él se sorprendió de que hiciera algo tan peligroso. ¿Es realmente tan inseguro generar contraseñas en línea? ¿Podría generarse algún tipo de cookie que rastree dónde la pegué?

    
pregunta Ondrej Slinták 31.07.2012 - 22:02
fuente

4 respuestas

24

No. No es seguro generar contraseñas en línea. ¡No lo hagas!

En teoría, hay algunas formas en que uno podría construir un generador de contraseñas que no sea tan malo (por ejemplo, ejecutarlo en Javascript, en su máquina local, etc.). Sin embargo, en la práctica, hay demasiados escollos que no se puede esperar que un usuario promedio detecte. En consecuencia, no lo recomiendo.

Por ejemplo, un usuario promedio no tiene forma de verificar si el generador de contraseñas garantiza que la contraseña nunca abandone su sitio. El usuario promedio no tiene forma de verificar que el sitio web no está manteniendo una copia de su contraseña. El usuario promedio no tiene manera de verificar que el código de generación de contraseña esté usando una buena entropía (y Math.random () de Javascript, que es lo más obvio de usar para este propósito, no es un gran generador de números pseudoaleatorios).

    
respondido por el D.W. 31.07.2012 - 22:34
fuente
2

El hecho de que un generador de contraseñas no use JavaScript no significa que no sea seguro, sin embargo, sería fácil para el servidor almacenar la contraseña enviada con su dirección IP. Si esto es una preocupación, sería fácil cambiar algunos caracteres en la contraseña. El GRC Ultra High Security Password Generator no utiliza JavaScript, pero "esta página solo se permitirá que se muestre a través de un snoop- conexión SSL de alta seguridad a prueba y a prueba de proxy, y está marcado como caducado en 1999 ". Cada "instancia" de esta página tiene varias contraseñas, por lo que incluso si GRC las registrara (lo cual dudo que hagan), no sabrían cuál ha elegido usar. Si aún desea un generador basado en JavaScript aquí hay uno .

    
respondido por el Celeritas 31.07.2012 - 22:35
fuente
1

Puede probar esta herramienta enlace Esta herramienta funciona sin conexión, por lo que puedes probar lo siguiente:

  1. Abre la herramienta en cualquier navegador.
  2. Desconecta internet.
  3. Use la herramienta para generar una contraseña.
  4. Borra toda la memoria caché en tu navegador.
  5. Vuelva a conectarse a su computadora a Internet para continuar con su trabajo.

De esta manera, esta herramienta no puede recopilar y almacenar sus contraseñas. La herramienta es legítima, pero puedes seguir estos pasos solo para asegurarte.

    
respondido por el Tung Nguyen 16.05.2018 - 17:51
fuente
0

Si la contraseña se genera localmente en JavaScript y no hay tráfico hacia el servidor, debería estar bien.

Si la contraseña se almacenara en una cookie, solo se podría ver desde el sitio desde el que se originó, debido a la misma política de origen. También podría detectar esto al revisar sus cookies.

Existe la posibilidad de que se divulgue información si utiliza un marcador como el que se encuentra en enlace (JavaScript en un marcador). El bookmarklet se almacena localmente, pero se ejecuta en el contexto del sitio en el que se encuentra, por lo tanto, si se está ejecutando JavaScript desde ese sitio que está configurado para detectar su bookmarklet, podría acceder a la información que el bookmarklet utiliza, solicita, genera y genera. .

    
respondido por el Phillip Nordwall 31.07.2012 - 22:09
fuente

Lea otras preguntas en las etiquetas