מדריך אבטחה

כיצד ליצור סיסמאות במצב לא מקוון

למד דרכים בטוחות ליצירת סיסמאות מבלי לשלוח ערכים שנוצרו לשרת, כולל כלים מקומיים בדפדפן, שימוש ב-PWA, כלי CLI ומגבלות.

תקציר

יצירת סיסמאות לא מקוונת פירושה שהערך שנוצר אינו דורש תקשורת עם השרת. PwdGen תומך ביצירה מקומית בדפדפן, התקנת PWA וזרימות עבודה של CLI המשתמשות באקראיות תואמת Web Crypto.

השתמש במחולל הסיסמאות הלא מקוון או בהערות CLI למפתחים.

שימוש מקומי בדפדפן

דפדפן מודרני יכול לשמור את מעטפת ה-PWA במטמון. לאחר שהיא זמינה, יצירת הסיסמאות משתמשת ב-Web Crypto מקומי. PwdGen עדיין נמנע משמירת תגובות API, ניתוחים או ערכים שנוצרו במטמון.

שימוש ב-CLI

יצירת סיסמאות בשורת הפקודה שימושית למפתחים ומנהלי מערכת שרוצים זרימת עבודה מקומית מבלי לפתוח דפדפן. אחסן תוצאות במנהל סיסמאות או מנהל סודות, לא בהיסטוריית הפקודות או ביומנים.

המלצות מעשיות

השתמש במכשיר מהימן ומעודכן.
הימנע ממחשבים ציבוריים או משותפים.
השבת תוספים לא מהימנים.
אחסן סודות בבטחה לאחר היצירה.
נקה היסטוריית לוח העתקה במידת הצורך.

הנחיות מפורטות

מדריך זה מתמקד ביצירת סיסמאות תוך צמצום חשיפה לרשת. הוא נכתב עבור אנשים שרוצים כלי זמין לאחר טעינת הדף או במעטפת PWA/לא מקוונת, כך שהמטרה המעשית אינה ליצור טענת אבטחה דרמטית. המטרה היא לבחור הרגל סיסמה שיכול לשרוד שימוש יומיומי: טפסי התחברות, מנהלי סיסמאות, מקלדות ניידות, שחזור חשבון, מכשירים משותפים, ולעיתים שירותים עם כללי אימות מוזרים. המלצה מאובטחת שימושית רק אם אדם אמיתי יכול לעקוב אחריה באופן עקבי.

נקודת ההתחלה הבטוחה ביותר היא אקראיות בתוספת ייחודיות. אקראיות פירושה שהערך נבחר ממרחב גדול על ידי מקור אקראי מתאים מבחינה קריפטוגרפית, לא הומצא מיום הולדת, שם חיית מחמד, תבנית מקלדת או ציטוט אהוב. ייחודיות פירושה שאותה סיסמה אינה בשימוש בשום מקום אחר. סיסמה ארוכה אך בשימוש חוזר עלולה להיכשל במהירות לאחר פריצה לא קשורה, בעוד סיסמה אקראית ייחודית מגבילה את הנזק לחשבון הבודד שבו היא שימשה.

לנושא זה, הגדרה מומלצת מעשית היא לטעון דף מקומי מהימן, לנתק במידת הצורך, ואז ליצור עם Web Crypto בדפדפן. ניתן ליישם הגדרה זו עם מחולל הסיסמאות הלא מקוון ולאחר מכן לאחסן את הערך הסופי במנהל סיסמאות מהימן. PwdGen יוצר ערכים מקומית בדפדפן עם Web Crypto; הסיסמה שנוצרה אינה נשלחת לשרת PwdGen. עיצוב מקומי זה מפחית חשיפה בצד השרת, אך אינו מגן מפני כל איום. תוסף דפדפן זדוני, מכשיר שנפרץ, דף דיוג או טיפול לא בטוח בלוח העתקה עדיין יכולים לחשוף סוד לאחר יצירתו.

הבעיות הנפוצות ביותר שיש להימנע מהן הן העתקות לא מהימנות, דפים שמורים במטמון מיושנים, מכשירים שנפרצו, תוספים זדוניים ושמירת ערכים שנוצרו בצורה לא מאובטחת. בעיות אלו חשובות מכיוון שתוקפים רק לעתים רחוקות צריכים לנסות כל סיסמה אפשרית בכוח גס כאשר הרגלים אנושיים נותנים להם קיצור דרך. מילוי פרטים גנובים, דיוג, רשימות סיסמאות דלפו וניצול לרעה של שחזור חשבון הם לעתים קרובות מציאותיים יותר מחיפוש מתמטי טהור. לכן העצה הטובה ביותר משלבת איכות סיסמה עם בקרות ברמת החשבון כגון MFA, מפתחות גישה, אחסון קודי שחזור ובדיקה שוטפת של הגדרות דוא”ל או טלפון לשחזור.

השתמש ברשימת הבדיקה הזו בעת יישום ההמלצה:

טען את האתר הרשמי לפני היציאה למצב לא מקוון.
הימנע ממראות צד שלישי לעבודה רגישה.
נקה היסטוריה זמנית בסיום.
אחסן ערכים סופיים במנהל מאובטח.

אם אתר אינטרנט דוחה את ההגדרה האידיאלית, אל תכריח את הסיסמה לתבנית חלשה יותר באופן ידני. כוונן משתנה אחד בכל פעם. אם סמלים נדחים, השאר אותיות גדולות, קטנות ומספרים מופעלים והגדל את האורך. אם אורך מקסימלי נמוך, השתמש באורך המקסימלי המקובל וודא שהערך ייחודי. אם יש לקרוא סיסמה בקול רם, להדפיס אותה או להקליד אותה על מסך טלוויזיה או נתב, שקול להשמיט תווים מבלבלים ולהגדיל את האורך כדי לפצות על האלפבית הקטן יותר.

לבסוף, זכור את גבול עצות הסיסמה. סיסמה חזקה היא שכבת הגנה אחת, לא ערובה. היא לא יכולה להפוך דף דיוג לבטוח, לתקן תוכנה זדונית או לפצות על שירות שאוגר פרטי כניסה בצורה גרועה. ההרגל השימושי הוא משעמם אך עמיד: צור ערך ייחודי, אחסן אותו בבטחה, הגן על נתיב השחזור, והחלף אותו במהירות אם אתה חושד בחשיפה.

צעד בטוח הבא

לאחר קריאת מדריך זה, בצע ביקורת חשבון קטנה אחת במקום לנסות לתקן הכל בבת אחת. בחר את החשבון שיגרום הכי הרבה צרות אם ישתלטו עליו, וודא שהסיסמה שלו ייחודית, ובדוק את דוא”ל השחזור, טלפון השחזור, שיטת ה-MFA ואחסון קודי הגיבוי. אם חלק כלשהו בשרשרת זו חלש, שפר חלק זה לפני המעבר לחשבונות בסיכון נמוך יותר. סדר זה שומר על העבודה ניתנת לניהול ומגן על החשבונות שתוקפים צפויים להשתמש בהם כקרש קפיצה. לגבי איך ליצור סיסמאות במצב לא מקוון, התוצאה הטובה ביותר היא הרגל שניתן לחזור עליו: צור מקומית, אחסן בזהירות, והימנע משימוש חוזר.

שאלות נפוצות

האם PwdGen יכול לעבוד במצב לא מקוון?

מעטפת ה-PWA יכולה להישמר במטמון על ידי דפדפנים נתמכים, והיצירה נשארת מקומית כאשר הדף זמין.

האם יצירה לא מקוונת אוטומטית בטוחה יותר?

לא אוטומטית. פגיעה במכשיר, תוספים זדוניים וחשיפת לוח העתקה עדיין רלוונטיים.

מהי זרימת העבודה הבטוחה ביותר במצב לא מקוון?

השתמש במכשיר מהימן, מחולל מקומי או CLI, ללא שליחת נתונים לרשת, ומנהל סיסמאות או מנהל סודות לאחסון.

מקורות

MDN — Service Worker API