Panduan keamanan
Apa itu Web Crypto API?
Pelajari bagaimana Web Crypto API mendukung pembuatan kata sandi acak di browser dan mengapa ini berbeda dari keacakan JavaScript biasa.
Ringkasan
Web Crypto API adalah standar browser untuk operasi kriptografi. Untuk pembuatan kata sandi, fitur terpenting adalah crypto.getRandomValues(), yang memberikan akses halaman web ke nilai acak yang kuat secara kriptografis yang cocok untuk memilih karakter kata sandi.
Mengapa ini penting untuk kata sandi
Kata sandi membutuhkan ketidakpastian. Keacakan JavaScript biasa tidak dirancang untuk rahasia. Web Crypto ada sehingga browser dapat mengekspos primitif kriptografi yang lebih aman melalui API standar. PwdGen menggunakan API tersebut untuk pemilihan acak terbatas dan menghindari Math.random() untuk pembuatan kata sandi.
Batasan sistem operasi
Web Crypto tidak berarti halaman mengontrol sumber entropi perangkat keras secara langsung. Browser biasanya bergantung pada sistem operasi dan penyedia kriptografi platform. Metodologi yang hati-hati harus mengatakan bahwa Web Crypto menyediakan output CSPRNG, bukan bahwa setiap panggilan membaca noise fisik dari CPU.
Bagaimana PwdGen menggunakannya
PwdGen meminta bilangan bulat acak 32-bit, menggunakan rejection sampling untuk menghindari bias modulo, memetakan nilai yang diterima ke indeks karakter, dan mengacak kelas karakter yang diperlukan. Ini menjaga implementasi tetap kecil dan dapat diaudit.
Panduan terperinci
Panduan ini berfokus pada pemahaman Web Crypto API sebagai primitif keamanan browser. Ditulis untuk pengguna dan pengembang yang ingin tahu mengapa keacakan browser penting, sehingga tujuan praktisnya bukan untuk membuat klaim keamanan yang dramatis. Tujuannya adalah memilih kebiasaan kata sandi yang dapat bertahan dalam penggunaan sehari-hari: formulir masuk, pengelola kata sandi, keyboard ponsel, pemulihan akun, perangkat bersama, dan layanan sesekali dengan aturan validasi aneh. Rekomendasi yang aman hanya berguna jika orang sungguhan dapat mengikutinya secara konsisten.
Titik awal teraman adalah keacakan ditambah keunikan. Keacakan berarti nilai dipilih dari ruang besar oleh sumber acak yang sesuai secara kriptografis, bukan diciptakan dari ulang tahun, nama hewan peliharaan, pola keyboard, atau kutipan favorit. Keunikan berarti kata sandi yang sama tidak digunakan di tempat lain. Kata sandi yang panjang tetapi digunakan ulang dapat gagal dengan cepat setelah satu pelanggaran yang tidak terkait, sementara kata sandi acak unik membatasi kerusakan pada satu akun tempat ia digunakan.
Untuk topik ini, preset praktis adalah Chrome, Edge, Safari, dan Firefox modern dengan crypto.getRandomValues tersedia. Anda dapat menerapkan preset itu dengan halaman dukungan browser dan kemudian menyimpan nilai akhir di pengelola kata sandi tepercaya. PwdGen menghasilkan nilai secara lokal di browser dengan Web Crypto; kata sandi yang dihasilkan tidak dikirim ke server PwdGen. Desain lokal itu mengurangi paparan sisi server, tetapi tidak melindungi terhadap setiap ancaman. Ekstensi browser berbahaya, perangkat yang dikompromikan, halaman phishing, atau penanganan clipboard yang tidak aman masih dapat mengekspos rahasia setelah dihasilkan.
Masalah paling umum yang harus dihindari adalah browser lama, konteks tidak aman, polyfill yang diam-diam menggunakan Math.random, dan membingungkan encoding dengan enkripsi. Masalah-masalah ini penting karena penyerang jarang perlu brute-force setiap kemungkinan kata sandi ketika kebiasaan manusia memberi mereka jalan pintas. Credential stuffing, phishing, daftar kata sandi bocor, dan penyalahgunaan pemulihan akun seringkali lebih realistis daripada pencarian matematis murni. Itulah mengapa saran terbaik menggabungkan kualitas kata sandi dengan kontrol tingkat akun seperti MFA, passkey, penyimpanan kode pemulihan, dan peninjauan rutin email pemulihan atau pengaturan telepon.
Gunakan daftar periksa ini saat menerapkan rekomendasi:
- Gunakan browser modern.
- Hindari alat yang menerapkan sumber acak sendiri.
- Pahami bahwa Web Crypto tidak memperbaiki malware.
- Baca metodologi sebelum mempercayai generator.
Jika situs web menolak pengaturan ideal, jangan paksa kata sandi ke pola yang lebih lemah dengan tangan. Sesuaikan satu variabel pada satu waktu. Jika simbol ditolak, tetap aktifkan huruf besar, huruf kecil, dan angka serta tambah panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata sandi harus dibacakan, dicetak, atau diketik di layar televisi atau router, pertimbangkan untuk mengecualikan karakter yang membingungkan dan menambah panjang untuk mengimbangi alfabet yang lebih kecil.
Terakhir, ingat batasan saran kata sandi. Kata sandi yang kuat adalah satu lapisan pertahanan, bukan jaminan. Itu tidak dapat membuat halaman phishing aman, memperbaiki malware, atau mengkompensasi layanan yang menyimpan kredensial dengan buruk. Kebiasaan yang berguna membosankan tetapi tahan lama: buat nilai unik, simpan dengan aman, lindungi jalur pemulihan, dan ganti dengan cepat jika Anda mencurigai paparan.
Langkah aman selanjutnya
Setelah membaca panduan ini, lakukan satu audit akun kecil alih-alih mencoba memperbaiki semuanya sekaligus. Pilih akun yang akan menyebabkan masalah terbesar jika diambil alih, konfirmasi bahwa kata sandinya unik, dan periksa email pemulihan, telepon pemulihan, metode MFA, dan penyimpanan kode cadangan. Jika ada bagian dari rantai itu yang lemah, perbaiki bagian itu sebelum beralih ke akun berisiko lebih rendah. Urutan ini menjaga pekerjaan tetap terkelola dan melindungi akun yang paling mungkin digunakan penyerang sebagai batu loncatan. Untuk apa itu web crypto api?, hasil terbaik adalah kebiasaan yang dapat diulang: buat secara lokal, simpan dengan hati-hati, dan hindari penggunaan ulang.
Pertanyaan yang sering diajukan
Bagian Web Crypto mana yang digunakan PwdGen?
PwdGen menggunakan crypto.getRandomValues() untuk meminta nilai acak yang kuat secara kriptografis dari browser.
Apakah Web Crypto berarti setiap byte berasal langsung dari perangkat keras?
Tidak. Browser umumnya menggunakan penyedia kriptografi sistem operasi yang diisi dengan entropi berkualitas tinggi; browser dan OS yang memilih implementasi.
Apakah Web Crypto tersedia di semua browser?
Tersedia di browser modern. Jika tidak ada, PwdGen menonaktifkan pembuatan alih-alih kembali ke keacakan tidak aman.