Можно ли доверять сайтам, которые генерируют случайные пароли онлайн?

Question

[FinerLife]

Самому трудно придумать надёжный пароль, благо полно сайтов, которые генерируют сложные пароли онлайн.
Но можно ли им доверять?

Comments

[aleks-th]

нет конечно )
Вопрос из разряда:
Можно ли доверять типу с улицы, который покажет тебе под каким камнем ты можешь надежно спрятать кошелек с деньгами

[Everything_is_bad]

Самому трудно придумать

зачем его придумывать самому? В чем проблема локальным софтом его не сгенерировать?

[Refguser]

?? Зачем какие-то сайты? Браузеры же сами генерят (и сохраняют при желании).

[Ziptar]

Refguser, самый надежный способ слить свои пароли - использовать браузерный менеджер паролей

[Refguser]

Ziptar, ту ты можешь продолжать верить в эти сказки, но даже при такой паранойе достаточно иметь немного фантазии, чтобы даже сохранённые пароли (а я не говорил, что их нужно неприменимо сохранять) не работали при утечке :)

[Ziptar]

Refguser,

ту ты можешь продолжать верить в эти сказки

Ну то есть малварь не умеет красть данные из браузеров в расшифрованном виде, так и запишем, а то пацаны не в курсе

а я не говорил, что их нужно неприменимо сохранять

Теряется смысл генерации тогда

Нет, ок, я согласен, если все пароли хранить в текстовом документе на рабочем столе, то их ещё проще украсть. Хотя не сильно)

[Refguser]

Ziptar,

Ну то есть малварь не умеет красть данные из браузеров в расшифрованном виде, так и запишем, а то пацаны не в курсе

казалось бы, причём тут браузеры, но спроси у пацанов когда они последний раз встречались с кражей паролей из браузера. А заодно и передай это. И что это не единственный способ держать пароли в безопасности и что легко сделать их бесполезным даже если и уведут.

Теряется смысл генерации тогда

С чего бы? Сгенерировать и сохранить - суть разные задачи и понятия. ТС вообще не говорил, что ему пароли нужны для сайтов и вообще в браузере.

[Ziptar]

Refguser, покажи мне того, кто использует мастер-пароль для менеджера паролей браузера. Впрочем, ок, мастер-пароль хорошо. Но негибко. Мастер-пароли и подбираются по словарю, и всё причитающееся. Но если подумать, то его можно банально с клавиатурного ввода его утащить. Нормальные менеджеры паролей гибче и функциональнее.

С чего бы? Сгенерировать и сохранить - суть разные задачи и понятия. ТС вообще не говорил, что ему пароли нужны для сайтов и вообще в браузере.

Технически да, практически ты генерируешь пароль, чтобы его сохранить, а не чтобы запомнить или на бумажку записать

[Refguser]

Ziptar,

покажи мне того, кто использует мастер-пароль для менеджера паролей браузера.

Я.. использовал. И много лет назад в конторе многих обучил этому методу безопасности. И сейчас использую, но не в браузере, тк для особо важных паролей я для браузера применяют метод неполного пароля или лишних символов (и это один из простейших методов безопасности паролей). Но в целом я не боюсь вирей, способных увести пароли из браузера. По многим причинам :)

Технически да, практически ты генерируешь пароль, чтобы его сохранить, а не чтобы запомнить или на бумажку записать

Не надо за ТСа додумывать. Особенно про "сохранить в браузере на винде с вирями".

Answer 1

[rPman]

Владелец сайта МОЖЕТ сохранить сгенерированный пароль с пометкой о пользователе (или fingerprint браузера) и обнаружить это может быть очень сложно (страница с вредоносными скриптами может быть отдана по условиям, при этом по таймингам и иным косвенным признакам, можно определить, смотришь ли ты страницу с помощью view-sourse: или загружаешь ее сторонними инструментами, или это браузер загрузил и проконтролировать сложно (можно создать плагин для такого контроля, но я не видел что бы кто то это делал).

Т.е. это вопрос доверия и вопрос уровней этого доверия.

Даже при использовании открытых проектов (код которых вы можете проверить), запускаемых локально, существует шанс что именно вам сервис загрузки приложения (если вы загружаете готовый бинарник) отдает код с бэкдором, но тут хотя бы больше средств для проверки и средства доставки файлов вне контроля разработчика... т.е. хотите контроля - собирайте инструментарий самостоятельно, а так же проводя проверку всего и вся... и даже в этом случае надежность будет не 100% (есть бэкдоры в браузерах, ОС, БИОС, железе)

но если сравнивать надежность то opensource и локальные приложения значительно более надежные чем онлайн.

Answer 2

[AlexVWill]

Зачем какие то сайты, если просто в консоли можно дать команду
tr -dc A-Za-z0-9 </dev/urandom | head -c 13; echo
Если нужны спецсимволы

tr -dc 'A-Za-z0-9!"#$%&'\''()*+,-./:;<=>?@[\]^_`{|}~' </dev/urandom | head -c 13; echo

Comments

[Антон Антон]

почему не pwgen?

[Василий Банников]

Антон Антон, потому что по-умолчанию нет, а то что тут - оно всегда есть.

[Антон Антон]

Василий Банников, даже на винде?

[Василий Банников]

Антон Антон, ладно.
Ну на Винде можно через Powershell - там можно и Get-Random для случайных чисел в диапазоне использовать (а далее просто циклом n раз), а можно из дотнета импортировать готовый метод типа
[System.Web.Security.Membership]::GeneratePassword.

Если не нравится Get-Random, то можно импортировать криптографический рандом

[maksam07]

Василий Банников, для павершела

1..10 | % { -join ('ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*'.ToCharArray() | Get-Random -Count 12) }

Answer 3

[GavriKos]

Доверять в чем? Вы можете точно так же скопировать кусок моего ответа и использовать как пароль. Если сайт просто генерирует - да ради бога. Он же ничего не хранит.

Answer 4

[Кот Абсолютный]

Нет.

Всему, что имеет отношение к безопасности и анонимности - в Сети доверять нельзя! Только свое.

Вот например, генерация на полном наборе (программы jot и rs берутся из FreeBSD)

glength=12                                      # Generated length
addline=`date +"%s"`
jot -r -c $(($glength*20)) . z $addline | rs -g 0 $glength

На выходе - столбик вариантов паролей длиной по 12 символов полного набора.

Answer 5

[Дмитрий]

Полностью доверять можно только локальной генерации паролей. Желательно в том, что не предназначено специально для этого, например:
openssl rand 16 | basenc --z85