למה להשתמש במחולל האסימונים הזה?
- מצב מאובטח משתמש כברירת מחדל ב-CSPRNG (crypto.getRandomValues).
- צרו אסימוני base64url, hex או ערכת תווים משלכם מדף אחד.
- ראו הערכת אנטרופיה וסיכון התנגשות עבור ההגדרות שלכם.
- שתפו הגדרות בבטחה: קישורי שיתוף אף פעם לא כוללים אסימונים שנוצרו.
איך להשתמש (3 שלבים)
- בחרו פורמט (base64url / hex / ערכת תווים משלכם).
- הגדירו אורך וכמות ואז צרו.
- העתיקו, שמרו או שתפו קישור שמכיל רק הגדרות.
יצירה
מחולל אסימונים
בחרו פורמט ואורך, צרו אצווה, ואז העתיקו, שמרו או שתפו הגדרות (לא אסימונים).
תוצאות
תהליך מומלץ לאסימונים
בחרו את מצב האקראיות הנכון
השתמשו במצב מאובטח למפתחות API, קודי הזמנה, קישורי איפוס וכל דבר שנותן גישה. השתמשו במצב seed רק כאשר צריך נתוני בדיקה שחוזרים על עצמם לבדיקות, תיעוד או demo.
התאימו אורך וקידוד ליעד
32 בתים הם נקודת התחלה מעשית לאסימונים רבים. Hex קל לבדיקה, base64url קצר יותר לקישורים ולקובצי תצורה, ואלפבית מותאם שימושי רק כאשר מערכת אחרת דורשת ערכת תווים מוגבלת.
שתפו הגדרות, לא סודות
קישור השיתוף שומר רק את הגדרות המחולל. האסימונים שנוצרו נשארים בדפדפן, לכן העתיקו את האסימון הסופי לכספת או למערכת היעד, לא לכרטיסים, צ׳אטים או URL.
בדיקות מהירות לפני שימוש
- ודאו שמערכת היעד מקבלת את האלפבית והאורך שנבחרו.
- השתמשו במצב מאובטח לכל דבר שמאמת זהות או נותן גישה.
- צרו אסימון חדש מיד אם אסימון נכנס ללוגים, צילומי מסך או URL ציבורי.
שאלות נפוצות
האם זה מאובטח?
המצב המאובטח משתמש ב-crypto.getRandomValues. מצב seed מיועד רק לבדיקות חוזרות ואינו מאובטח.
כמה בתים כדאי להשתמש למפתח API?
בסיס נפוץ הוא 32 בתים (256 ביט). למרווח אבטחה גדול יותר אפשר להשתמש ב-48 או 64 בתים.
מהו base64url?
Base64url הוא base64 שמותאם ל-URL: + הופך ל--, / הופך ל-_, ואפשר להסיר padding (=).
האם האסימונים שנוצרו נשמרים או מועלים?
לא. הכול רץ מקומית בדפדפן. אסימונים לא מועלים ולא נשמרים כברירת מחדל.
למה קישור השיתוף לא כולל אסימונים?
סודות בתוך URL יכולים לדלוף דרך היסטוריה, לוגים ו-referrers. הכלי הזה משתף רק הגדרות, אף פעם לא אסימונים.