Por lo general, genero contraseñas seguras utilizando varias herramientas en línea . Hace algún tiempo se lo mencioné a un amigo mío y él se sorprendió de que hiciera algo tan peligroso. ¿Es realmente tan inseguro generar contraseñas en línea? ¿Podría generarse algún tipo de cookie que rastree dónde la pegué?
No. No es seguro generar contraseñas en línea. ¡No lo hagas!
En teoría, hay algunas formas en que uno podría construir un generador de contraseñas que no sea tan malo (por ejemplo, ejecutarlo en Javascript, en su máquina local, etc.). Sin embargo, en la práctica, hay demasiados escollos que no se puede esperar que un usuario promedio detecte. En consecuencia, no lo recomiendo.
Por ejemplo, un usuario promedio no tiene forma de verificar si el generador de contraseñas garantiza que la contraseña nunca abandone su sitio. El usuario promedio no tiene forma de verificar que el sitio web no está manteniendo una copia de su contraseña. El usuario promedio no tiene manera de verificar que el código de generación de contraseña esté usando una buena entropía (y Math.random () de Javascript, que es lo más obvio de usar para este propósito, no es un gran generador de números pseudoaleatorios).
El hecho de que un generador de contraseñas no use JavaScript no significa que no sea seguro, sin embargo, sería fácil para el servidor almacenar la contraseña enviada con su dirección IP. Si esto es una preocupación, sería fácil cambiar algunos caracteres en la contraseña. El GRC Ultra High Security Password Generator no utiliza JavaScript, pero "esta página solo se permitirá que se muestre a través de un snoop- conexión SSL de alta seguridad a prueba y a prueba de proxy, y está marcado como caducado en 1999 ". Cada "instancia" de esta página tiene varias contraseñas, por lo que incluso si GRC las registrara (lo cual dudo que hagan), no sabrían cuál ha elegido usar. Si aún desea un generador basado en JavaScript aquí hay uno .
Puede probar esta herramienta enlace Esta herramienta funciona sin conexión, por lo que puedes probar lo siguiente:
De esta manera, esta herramienta no puede recopilar y almacenar sus contraseñas. La herramienta es legítima, pero puedes seguir estos pasos solo para asegurarte.
Si la contraseña se genera localmente en JavaScript y no hay tráfico hacia el servidor, debería estar bien.
Si la contraseña se almacenara en una cookie, solo se podría ver desde el sitio desde el que se originó, debido a la misma política de origen. También podría detectar esto al revisar sus cookies.
Existe la posibilidad de que se divulgue información si utiliza un marcador como el que se encuentra en enlace (JavaScript en un marcador). El bookmarklet se almacena localmente, pero se ejecuta en el contexto del sitio en el que se encuentra, por lo tanto, si se está ejecutando JavaScript desde ese sitio que está configurado para detectar su bookmarklet, podría acceder a la información que el bookmarklet utiliza, solicita, genera y genera. .