Bộ tạo mật khẩu miễn phí — mạnh, riêng tư, trong trình duyệt _

Điều gì làm bộ tạo mật khẩu này khác biệt?

Đây là một trình tạo mật khẩu ưu tiên quyền riêng tư, chỉ chạy trong trình duyệt. Mọi byte ngẫu nhiên đều đến từ bộ tạo số ngẫu nhiên mật mã của hệ điều hành thông qua crypto.getRandomValues — không bao giờ từ Math.random. Trang không thực hiện bất kỳ yêu cầu mạng nào để tạo mật khẩu, và giá trị được tạo ra không bao giờ rời khỏi tab của bạn. Mở bảng Network trong DevTools và nhấn Tạo: nó vẫn yên lặng.

Bộ tạo mật khẩu này hoạt động như thế nào?

Công cụ chạy hoàn toàn bằng JavaScript trong trình duyệt của bạn. Không có vòng đi-về máy chủ, không có beacon phân tích mang theo mật khẩu, và không có yêu cầu phông chữ từ xa nào sau khi trang được tải.

1. Lấy hạt giống từ CSPRNG của hệ điều hành. Mọi số nguyên ngẫu nhiên đều được lấy từ crypto.getRandomValues(new Uint32Array(n)) — chính cùng một nguồn an toàn về mặt mật mã mà trình duyệt dùng cho khóa TLS và crypto.randomUUID. Math.random được chủ ý không bao giờ gọi đến; một bước grep trên toàn dự án đảm bảo điều này.
2. Lắp ráp bộ ký tự. Chế độ ký tự ngẫu nhiên nối các lớp ký tự được bật — chữ hoa, chữ thường, chữ số, ký hiệu — thành một bảng chữ cái duy nhất. Tùy chọn 'Loại bỏ ký tự gây nhầm lẫn' sau đó loại bỏ các glyph trông giống nhau (0, O, o, 1, l, I, |, dấu huyền ngược) để mật khẩu không bị nhập nhằng khi đọc to hoặc chép tay.
3. Lấy mẫu chỉ số không thiên lệch. Ánh xạ một số nguyên không dấu 32 bit sang chỉ số bộ ký tự một cách ngây thơ (modulo) sẽ tạo ra một độ lệch nhỏ khi kích thước bộ ký tự không chia hết cho 2^32. Công cụ sử dụng phương pháp lấy mẫu loại bỏ: bất kỳ mẫu nào rơi vào phần đuôi modulo đều bị bỏ và lấy lại, nên mọi ký tự trong bộ ký tự đều có xác suất xuất hiện như nhau.
4. Tạo hàng loạt. Với chế độ ký tự ngẫu nhiên, bạn có thể yêu cầu 1 đến 50 mật khẩu chỉ trong một cú nhấp. Mỗi kết quả được hiển thị thành một hàng với ước lượng entropy, mức độ mạnh và nút Sao chép riêng. Nút 'Sao chép tất cả' nối các hàng bằng các dấu xuống dòng để bạn có thể dán vào CSV hoặc tệp nhập của ứng dụng quản lý mật khẩu.
5. Chế độ cụm từ mật khẩu. Bật công tắc chế độ và trang sẽ tải lười danh sách EFF Short Wordlist #1 (1296 từ tiếng Anh thuộc miền công cộng) ở lần dùng đầu tiên. Cụm từ mật khẩu năm từ cho khoảng 51,7 bit entropy — đủ cho các tài khoản hàng ngày và dễ nhớ hơn rất nhiều so với một chuỗi 9 ký tự ngẫu nhiên. Sau lần tải cùng-nguồn duy nhất đó, trang lại yên lặng.

Tại sao nên dùng bộ tạo mật khẩu này?

• Mật khẩu của bạn không bao giờ rời khỏi trình duyệt. Không có endpoint máy chủ, không có cuộc gọi phân tích mang theo giá trị, không có phông chữ từ xa, không có telemetry. Mở DevTools, tạo một mật khẩu và quan sát bảng Network vẫn trống.
• Tính ngẫu nhiên an toàn về mặt mật mã, theo thiết kế. Mọi số nguyên đều đến từ crypto.getRandomValues, có lấy mẫu loại bỏ để chống thiên lệch modulo. Lỗi phổ biến nhất trong các trình tạo mật khẩu trên trình duyệt — dùng Math.random làm nguồn entropy — về mặt cấu trúc là không thể xảy ra ở đây.
• Hai chế độ, một công cụ. Chế độ ký tự ngẫu nhiên sinh ra các chuỗi entropy cao cho ứng dụng quản lý mật khẩu; chế độ cụm từ mật khẩu sinh ra các chuỗi kiểu xkcd dễ nhớ với con người (correct-horse-battery-staple) dựa trên EFF Short Wordlist #1. Cùng một mô hình quyền riêng tư ở cả hai.
• Entropy minh bạch. Mỗi hàng được tạo đều hiển thị entropy theo bit và một nhãn độ mạnh rõ ràng, để bạn nhìn thoáng qua đã biết liệu một chuỗi 12 ký tự không có ký hiệu có thực sự mạnh ngang với một cụm từ mật khẩu 5 từ hay không. Không tô vẽ tiếp thị, chỉ có những con số.

Các ứng dụng phổ biến của mật khẩu được tạo là gì?

Bất cứ khi nào bạn cần một bí mật ngẫu nhiên mới, đây là công cụ giảm thiểu bề mặt tin cậy:

• Nhập vào ứng dụng quản lý mật khẩu. Tạo 50 mật khẩu mạnh trong một đợt, nhấn Sao chép tất cả, dán vào tệp CSV nhập của kho mật khẩu của bạn. Các giá trị không bao giờ đi qua bất kỳ máy chủ nào, nên không có khoảng thời gian rò rỉ giữa lúc tạo và lúc lưu trữ.
• Cụm từ mật khẩu chính. Chuyển sang chế độ cụm từ mật khẩu, chọn 6 hoặc 7 từ, tùy chọn viết hoa mỗi từ, và bạn có một chuỗi entropy cao mà bạn có thể thực sự ghi nhớ mà không cần viết ra giấy. Khoảng 62 bit entropy từ 6 từ — vượt xa ngưỡng cho một cuộc tấn công ngoại tuyến.
• Khóa API và token cho dự án phụ. Cần một bí mật chia sẻ dùng một lần cho khóa ký webhook hoặc mật khẩu cơ sở dữ liệu phát triển? Tạo một chuỗi 32 ký tự giàu ký hiệu ở đây, sao chép một lần, và nơi duy nhất nó từng tồn tại trong khi truyền là bên trong chính tab trình duyệt của bạn.

Ví dụ về mật khẩu được tạo trông như thế nào?

Đặt độ dài là 16, để cả bốn lớp ký tự bật và nhấn Tạo. Bộ ký tự có 26 + 26 + 10 + 32 = 94 ký tự, nên mỗi ký tự được tạo mang log2(94) ≈ 6,55 bit entropy. Mười sáu ký tự đạt khoảng 104,9 bit — vượt xa ngưỡng 'rất mạnh' 80 bit và gần như không thể bị tấn công vét cạn bằng phần cứng hiện nay. Giờ chuyển sang chế độ cụm từ mật khẩu, chọn 5 từ với dấu phân cách gạch nối mặc định: cocktail-sprig-aspect-magenta-tonic mang log2(1296) x 5 ≈ 51,7 bit. Dễ nhớ, dễ gõ, và mạnh hơn mật khẩu trung bình do con người tự chọn.

Tạo, sao chép, đi tiếp. Trang không bao giờ thấy một máy chủ nào, mật khẩu không bao giờ rời khỏi tab của bạn, và entropy được tính từ các nguyên lý cơ bản. Đó là toàn bộ lời hứa.