Turvallisuusopas

Mikä on Web Crypto API?

Q: Mitä osaa Web Cryptosta PwdGen käyttää?

PwdGen käyttää crypto.getRandomValues()-metodia pyytääkseen kryptografisesti vahvoja satunnaisarvoja selaimelta.

Opi, miten Web Crypto API tukee selaimessa paikallisesti tapahtuvaa satunnaisten salasanojen luontia ja miksi se eroaa tavallisesta JavaScript-satunnaisuudesta.

Yhteenveto

Web Crypto API on selainstandardi kryptografisille operaatioille. Salasanan luonnissa tärkein ominaisuus on crypto.getRandomValues(), joka antaa verkkosivuille pääsyn kryptografisesti vahvoihin satunnaisarvoihin, jotka soveltuvat salasanamerkkien valintaan.

Miksi se on tärkeää salasanoille

Salasanojen on oltava arvaamattomia. Tavallinen JavaScript-satunnaisuus ei ole suunniteltu salaisuuksille. Web Crypto on olemassa, jotta selaimet voivat tarjota turvallisempia kryptografisia perusrakenteita standardoidun API:n kautta. PwdGen käyttää tätä API:a rajoitettuun satunnaisvalintaan ja välttää Math.random():n käyttöä salasanan luonnissa.

Käyttöjärjestelmän raja

Web Crypto ei tarkoita, että sivu hallitsisi suoraan laitteiston entropialähdettä. Selaimet luottavat tyypillisesti käyttöjärjestelmän ja alustan kryptografiseen tarjoajaan. Huolellinen metodologia sanoo, että Web Crypto tuottaa CSPRNG-tulostetta, ei sitä, että jokainen kutsu lukee fyysistä kohinaa suorittimelta.

Miten PwdGen käyttää sitä

PwdGen pyytää 32-bittisiä satunnaislukuja, käyttää hylkäysotantaa modulo-vinouksen välttämiseksi, kartoittaa hyväksytyt arvot merki-indekseihin ja sekoittaa vaaditut merkkiluokat. Tämä pitää toteutuksen pienenä ja tarkastettavana.

Yksityiskohtainen opas

Tämä opas keskittyy Web Crypto API:n ymmärtämiseen selaimen tietoturvan perusrakenteena. Se on kirjoitettu käyttäjille ja kehittäjille, jotka haluavat tietää, miksi selaimen satunnaisuus on tärkeää, joten käytännön tavoite ei ole luoda dramaattista tietoturvaväitettä. Tavoite on valita salasanatapa, joka kestää jokapäiväistä käyttöä: kirjautumislomakkeet, salasananhallintaohjelmat, mobiilinäppäimistöt, tilin palautus, jaetut laitteet ja satunnaiset palvelut, joilla on outoja validointisääntöjä. Turvallinen suositus on hyödyllinen vain, jos oikea henkilö voi noudattaa sitä johdonmukaisesti.

Turvallisin lähtökohta on satunnaisuus plus ainutlaatuisuus. Satunnaisuus tarkoittaa, että arvo valitaan suuresta avaruudesta kryptografisesti sopivasta satunnaislähteestä, ei keksitä syntymäpäivästä, lemmikin nimestä, näppäimistökuviosta tai lempilainauksesta. Ainutlaatuisuus tarkoittaa, että samaa salasanaa ei käytetä missään muualla. Pitkä mutta uudelleenkäytetty salasana voi pettää nopeasti yhden toisiinsa liittymättömän tietomurron jälkeen, kun taas ainutlaatuinen satunnainen salasana rajoittaa vahingon siihen tiliin, jossa sitä käytettiin.

Tässä aiheessa käytännöllinen esiasetus on moderni Chrome, Edge, Safari ja Firefox, joissa crypto.getRandomValues on saatavilla. Voit soveltaa tätä esiasetusta selaimen tukisivulla ja tallentaa lopullisen arvon luotettuun salasananhallintaohjelmaan. PwdGen luo arvot paikallisesti selaimessa Web Crypton avulla; luotua salasanaa ei lähetetä PwdGen-palvelimelle. Tämä paikallinen rakenne vähentää palvelimen altistumista, mutta se ei suojaa kaikilta uhilta. Haitallinen selainlaajennus, vaarantunut laite, tietojenkalastelusivu tai turvaton leikepöydän käsittely voivat silti paljastaa salaisuuden sen luomisen jälkeen.

Yleisimmät vältettävät ongelmat ovat vanhat selaimet, epäturvalliset kontekstit, polyfillit, jotka hiljaa käyttävät Math.randomia, sekä koodauksen sekoittaminen salaukseen. Nämä ongelmat ovat tärkeitä, koska hyökkääjät harvoin tarvitsevat raakaa voimaa jokaiseen mahdolliseen salasanaan, kun ihmisten tavat antavat heille oikotien. Tunnusten täyttö, tietojenkalastelu, vuotaneet salasanalistat ja tilin palautuksen väärinkäyttö ovat usein realistisempia kuin puhdas matemaattinen haku. Siksi paras neuvo yhdistää salasanan laatu tilikohtaisiin suojauksiin, kuten MFA, avaimet, palautuskoodien tallennus ja palautussähköpostin tai puhelinnumeron säännöllinen tarkistus.

Käytä tätä tarkistuslistaa suosituksen soveltamisessa:

Käytä modernia selainta.
Vältä työkaluja, jotka toteuttavat oman satunnaislähteensä.
Ymmärrä, että Web Crypto ei korjaa haittaohjelmia.
Lue metodologia ennen kuin luotat generaattoriin.

Jos verkkosivusto hylkää ihanteellisen asetuksen, älä pakota salasanaa heikompaan malliin käsin. Säädä yhtä muuttujaa kerrallaan. Jos symbolit hylätään, pidä isot kirjaimet, pienet kirjaimet ja numerot käytössä ja lisää pituutta. Jos maksimipituus on pieni, käytä suurinta hyväksyttyä pituutta ja varmista, että arvo on ainutlaatuinen. Jos salasana on luettava ääneen, tulostettava tai kirjoitettava television tai reitittimen näytöllä, harkitse hämmentävien merkkien poissulkemista ja pituuden lisäämistä kompensoimaan pienempää aakkostoa.

Lopuksi muista salasananeuvonnan rajat. Vahva salasana on yksi suojakerros, ei takuu. Se ei voi tehdä tietojenkalastelusivusta turvallista, korjata haittaohjelmia tai korvata palvelua, joka tallentaa tunnukset huonosti. Hyödyllinen tapa on tylsä mutta kestävä: luo ainutlaatuinen arvo, tallenna se turvallisesti, suojaa palautuspolku ja vaihda se nopeasti, jos epäilet altistumista.

Turvallinen seuraava askel

Tämän oppaan lukemisen jälkeen tee yksi pieni tilin tarkistus sen sijaan, että yrität korjata kaikkea kerralla. Valitse tili, joka aiheuttaisi eniten ongelmia, jos se kaapattaisiin, varmista, että sen salasana on ainutlaatuinen, ja tarkista palautussähköposti, palautuspuhelinnumero, MFA-menetelmä ja varakoodien tallennus. Jos jokin osa ketjusta on heikko, paranna sitä ennen kuin siirryt pienemmän riskin tileihin. Tämä järjestys pitää työn hallittavana ja suojaa tilejä, joita hyökkääjät todennäköisimmin käyttävät ponnahduslautana. Mitä tulee kysymykseen “mikä on web crypto api?”, paras lopputulos on toistettava tapa: luo paikallisesti, tallenna huolellisesti ja vältä uudelleenkäyttöä.

Usein kysytyt kysymykset

Mitä osaa Web Cryptosta PwdGen käyttää?

PwdGen käyttää crypto.getRandomValues():a pyytääkseen kryptografisesti vahvoja satunnaisarvoja selaimelta.

Tarkoittaako Web Crypto, että jokainen tavu tulee suoraan laitteistosta?

Ei. Selaimet käyttävät yleensä käyttöjärjestelmän kryptografisia tarjoajia, jotka on alustettu korkealaatuisella entropialla; selain ja käyttöjärjestelmä valitsevat toteutuksen.

Onko Web Crypto saatavilla kaikissa selaimissa?

Se on saatavilla moderneissa selaimissa. Jos se puuttuu, PwdGen poistaa luonnin käytöstä sen sijaan, että turvautuisi epäturvalliseen satunnaisuuteen.