Қауіпсіздік нұсқаулығы

Web Crypto API дегеніміз не?

Q: PwdGen Web Crypto-ның қай бөлігін пайдаланады?

PwdGen crypto.getRandomValues() браузерден криптографиялық тұрақты кездейсоқ мәндерді сұрау үшін пайдаланады.

Web Crypto API браузерде жергілікті кездейсоқ құпиясөздерді генерациялауды қалай қолдайтынын және оның қарапайым JavaScript кездейсоқтығынан несімен ерекшеленетінін біліңіз.

Қысқаша мазмұны

Web Crypto API — браузердегі криптографиялық операцияларға арналған стандарт. Құпиясөздерді генерациялау үшін ең маңызды мүмкіндік — crypto.getRandomValues(), ол веб-парақтарға құпиясөз таңбаларын таңдауға жарамды криптографиялық тұрақты кездейсоқ мәндерге қол жеткізуге мүмкіндік береді.

Неліктен бұл құпиясөздер үшін маңызды

Құпиясөздер болжау мүмкін еместігін талап етеді. Қарапайым JavaScript кездейсоқтығы құпияларға арналмаған. Web Crypto браузерлерге стандартты API арқылы қауіпсіз криптографиялық примитивтерді ұсыну үшін бар. PwdGen құпиясөздерді генерациялау үшін осы API-ді шектелген кездейсоқ таңдау үшін пайдаланады және Math.random() қолданбайды.

Операциялық жүйе шекарасы

Web Crypto парақтың аппараттық энтропия көзін тікелей басқаратынын білдірмейді. Браузерлер әдетте операциялық жүйе мен платформаның криптографиялық провайдеріне сүйенеді. Мұқият әдістеме Web Crypto CSPRNG шығысын қамтамасыз ететінін айтуы керек, әрбір шақыру процессордан физикалық шуды оқиды деп емес.

PwdGen оны қалай пайдаланады

PwdGen 32-биттік кездейсоқ бүтін сандарды сұрайды, модульдік ауытқуды болдырмау үшін қабылдамау іріктеуін пайдаланады, қабылданған мәндерді таңбалар индекстеріне салады және қажетті таңбалар кластарын араластырады. Бұл іске асыруды шағын және аудиттелетін етеді.

Егжей-тегжейлі нұсқаулық

Бұл нұсқаулық Web Crypto API-ді браузер қауіпсіздігінің примитиві ретінде түсінуге бағытталған. Ол браузер кездейсоқтығының неліктен маңызды екенін білгісі келетін пайдаланушылар мен әзірлеушілерге арналған, сондықтан практикалық мақсат — драмалық қауіпсіздік мәлімдемесін жасау емес. Мақсат — күнделікті қолдануға төтеп бере алатын құпиясөз әдетін таңдау: кіру формалары, құпиясөз менеджерлері, мобильді пернетақталар, есептік жазбаны қалпына келтіру, ортақ құрылғылар және кейде оғаш тексеру ережелері бар қызметтер. Қауіпсіз ұсыныс нақты адам оны дәйекті түрде орындай алатын болса ғана пайдалы.

Ең қауіпсіз бастапқы нүкте — кездейсоқтық пен бірегейлік. Кездейсоқтық мәннің үлкен кеңістіктен криптографиялық жарамды кездейсоқ көзбен таңдалғанын білдіреді, туған күннен, үй жануарының атынан, пернетақта үлгісінен немесе сүйікті дәйексөзден ойлап табылмаған. Бірегейлік бірдей құпиясөздің басқа еш жерде қолданылмауын білдіреді. Ұзын, бірақ қайта пайдаланылған құпиясөз бір байланыссыз бұзушылықтан кейін тез сәтсіздікке ұшырауы мүмкін, ал бірегей кездейсоқ құпиясөз зақымдануды ол пайдаланылған жалғыз есептік жазбамен шектейді.

Бұл тақырып үшін практикалық алдын ала параметр — crypto.getRandomValues қолжетімді заманауи Chrome, Edge, Safari және Firefox. Сіз бұл алдын ала параметрді браузерді қолдау бетінен қолданып, содан кейін соңғы мәнді сенімді құпиясөз менеджерінде сақтай аласыз. PwdGen мәндерді браузерде Web Crypto көмегімен жергілікті түрде генерациялайды; генерацияланған құпиясөз PwdGen серверіне жіберілмейді. Бұл жергілікті дизайн сервер жағындағы әсерді азайтады, бірақ ол әрбір қауіптен қорғамайды. Зиянды браузер кеңейтімі, бұзылған құрылғы, фишинг парағы немесе қауіпсіз емес алмасу буферімен жұмыс істеу құпияны генерациялаудан кейін әлі де аша алады.

Ең көп таралған проблемалар — ескі браузерлер, қауіпсіз емес контексттер, Math.random-ды үнсіз пайдаланатын полифилдер және кодтауды шифрлаумен шатастыру. Бұл проблемалар маңызды, себебі шабуылдаушылар адам әдеттері оларға қысқа жол бергенде, әрбір мүмкін құпиясөзді брутфорс арқылы табуға сирек мәжбүр болады. Есептік жазба деректерін толтыру, фишинг, ағып кеткен құпиясөздер тізімдері және есептік жазбаны қалпына келтіруді теріс пайдалану көбінесе таза математикалық іздеуден гөрі шынайы. Сондықтан ең жақсы кеңес құпиясөз сапасын MFA, кілттер, қалпына келтіру кодтарын сақтау және қалпына келтіру электрондық поштасын немесе телефон параметрлерін жүйелі түрде қарап шығу сияқты есептік жазба деңгейіндегі басқару шараларымен біріктіреді.

Ұсынысты қолданғанда осы тексеру тізімін пайдаланыңыз:

Заманауи браузерді пайдаланыңыз.
Өзінің кездейсоқ көзін енгізетін құралдардан аулақ болыңыз.
Web Crypto зиянды бағдарламаны түзетпейтінін түсініңіз.
Генераторға сенбес бұрын әдістемені оқыңыз.

Егер веб-сайт идеалды параметрді қабылдамаса, құпиясөзді қолмен әлсіз үлгіге мәжбүрлемеңіз. Бір айнымалыны бір уақытта реттеңіз. Егер символдар қабылданбаса, бас әріптерді, кіші әріптерді және сандарды қосып, ұзындықты арттырыңыз. Егер максималды ұзындық аз болса, ең үлкен қабылданған ұзындықты пайдаланыңыз және мәннің бірегей екеніне көз жеткізіңіз. Егер құпиясөзді дауыстап оқу, басып шығару немесе теледидар немесе маршрутизатор экранында теру қажет болса, шатастыратын таңбаларды алып тастап, кішірек әліпбидің орнын толтыру үшін ұзындықты арттыруды қарастырыңыз.

Ақырында, құпиясөз кеңесінің шекарасын есте сақтаңыз. Күшті құпиясөз — қорғаныстың бір қабаты, кепілдік емес. Ол фишинг парағын қауіпсіз ете алмайды, зиянды бағдарламаны түзете алмайды немесе есептік жазба деректерін нашар сақтайтын қызметтің орнын толтыра алмайды. Пайдалы әдет — қызықсыз, бірақ берік: бірегей мәнді генерациялаңыз, оны қауіпсіз сақтаңыз, қалпына келтіру жолын қорғаңыз және әшкереленуге күдіктенсеңіз, оны тез ауыстырыңыз.

Қауіпсіз келесі қадам

Осы нұсқаулықты оқығаннан кейін, бірден бәрін түзетуге тырысудың орнына, бір шағын есептік жазба аудитін жасаңыз. Егер ол басып алынса, ең көп қиындық тудыратын есептік жазбаны таңдаңыз, оның құпиясөзінің бірегей екенін растаңыз және қалпына келтіру электрондық поштасын, қалпына келтіру телефонын, MFA әдісін және сақтық көшірме кодтарын тексеріңіз. Егер тізбектің кез келген бөлігі әлсіз болса, төменгі қауіпті есептік жазбаларға көшпес бұрын сол бөлікті жақсартыңыз. Бұл реттілік жұмысты басқарылатын етеді және шабуылдаушылардың адымдау тасы ретінде пайдалануы ықтимал есептік жазбаларды қорғайды. Web Crypto API дегеніміз не? үшін ең жақсы нәтиже — қайталанатын әдет: жергілікті генерациялау, мұқият сақтау және қайта пайдаланудан аулақ болу.

Жиі қойылатын сұрақтар

PwdGen Web Crypto-ның қай бөлігін пайдаланады?

PwdGen crypto.getRandomValues() браузерден криптографиялық тұрақты кездейсоқ мәндерді сұрау үшін пайдаланады.

Web Crypto әрбір байттың аппараттық құралдан тікелей келетінін білдіре ме?

Жоқ. Браузерлер әдетте жоғары сапалы энтропиямен себілген операциялық жүйенің криптографиялық провайдерлерін пайдаланады; браузер мен ОС іске асыруды таңдайды.

Web Crypto барлық браузерлерде қолжетімді ме?

Ол заманауи браузерлерде қолжетімді. Егер ол жоқ болса, PwdGen қауіпсіз емес кездейсоқтыққа жүгінбей, генерацияны өшіреді.