คู่มือความปลอดภัย
วิธีสร้างรหัสผ่านแบบออฟไลน์
เรียนรู้วิธีที่ปลอดภัยในการสร้างรหัสผ่านโดยไม่ต้องส่งค่าที่สร้างไปยังเซิร์ฟเวอร์ รวมถึงเครื่องมือในเบราว์เซอร์ การใช้ PWA เครื่องมือ CLI และข้อจำกัดต่างๆ
สรุป
การสร้างรหัสผ่านแบบออฟไลน์หมายถึงค่าที่สร้างขึ้นไม่จำเป็นต้องมีการเดินทางไปกลับเซิร์ฟเวอร์ PwdGen รองรับการสร้างในเบราว์เซอร์ การติดตั้ง PWA และขั้นตอนการทำงาน CLI ที่ใช้ความสุ่มที่เข้ากันได้กับ Web Crypto
ใช้ เครื่องมือสร้างรหัสผ่านออฟไลน์ หรือ บันทึก CLI สำหรับนักพัฒนา
การใช้งานออฟไลน์ในเบราว์เซอร์
เบราว์เซอร์สมัยใหม่สามารถแคช shell ของ PWA ได้ เมื่อพร้อมใช้งาน การสร้างรหัสผ่านจะใช้ Web Crypto ในเครื่อง PwdGen ยังคงหลีกเลี่ยงการแคชการตอบสนองของ API การวิเคราะห์ หรือค่าที่สร้างขึ้น
การใช้งาน CLI
การสร้างผ่านบรรทัดคำสั่งมีประโยชน์สำหรับนักพัฒนาและผู้ดูแลระบบที่ต้องการขั้นตอนการทำงานในเครื่องโดยไม่ต้องเปิดเบราว์เซอร์ เก็บผลลัพธ์ในตัวจัดการรหัสผ่านหรือตัวจัดการความลับ ไม่ใช่ในประวัติ shell หรือบันทึก
คำแนะนำเชิงปฏิบัติ
- ใช้อุปกรณ์ที่เชื่อถือได้และอัปเดตแล้ว
- หลีกเลี่ยงคอมพิวเตอร์สาธารณะหรือที่ใช้ร่วมกัน
- ปิดใช้งานส่วนขยายที่ไม่น่าเชื่อถือ
- เก็บความลับอย่างปลอดภัยหลังการสร้าง
- ล้างประวัติคลิปบอร์ดเมื่อเหมาะสม
คำแนะนำโดยละเอียด
คู่มือนี้เน้นการสร้างรหัสผ่านในขณะที่ลดการเปิดเผยเครือข่าย เขียนขึ้นสำหรับผู้ที่ต้องการเครื่องมือที่พร้อมใช้งานหลังจากโหลดหน้าเว็บหรือใน PWA/shell ออฟไลน์ ดังนั้นเป้าหมายในทางปฏิบัติไม่ใช่การสร้างข้อเรียกร้องด้านความปลอดภัยที่รุนแรง เป้าหมายคือการเลือกนิสัยการใช้รหัสผ่านที่สามารถใช้งานได้ในชีวิตประจำวัน: แบบฟอร์มเข้าสู่ระบบ ตัวจัดการรหัสผ่าน คีย์บอร์ดมือถือ การกู้คืนบัญชี อุปกรณ์ที่ใช้ร่วมกัน และบริการบางครั้งที่มีกฎการตรวจสอบที่แปลกประหลาด คำแนะนำที่ปลอดภัยจะมีประโยชน์ก็ต่อเมื่อคนจริงสามารถปฏิบัติตามได้อย่างสม่ำเสมอ
จุดเริ่มต้นที่ปลอดภัยที่สุดคือความสุ่มบวกกับความเป็นเอกลักษณ์ ความสุ่มหมายถึงค่าถูกเลือกจากพื้นที่ขนาดใหญ่โดยแหล่งสุ่มที่เหมาะสมกับการเข้ารหัส ไม่ใช่การคิดค้นจากวันเกิด ชื่อสัตว์เลี้ยง รูปแบบคีย์บอร์ด หรือคำพูดโปรด ความเป็นเอกลักษณ์หมายถึงรหัสผ่านเดียวกันไม่ได้ใช้ที่อื่น รหัสผ่านที่ยาวแต่ใช้ซ้ำอาจล้มเหลวอย่างรวดเร็วหลังจากการละเมิดที่ไม่เกี่ยวข้องเพียงครั้งเดียว ในขณะที่รหัสผ่านสุ่มที่ไม่ซ้ำจะจำกัดความเสียหายให้กับบัญชีเดียวที่ใช้
สำหรับหัวข้อนี้ ค่าเริ่มต้นที่ใช้งานได้จริงคือโหลดหน้าเว็บในเครื่องที่เชื่อถือได้ ตัดการเชื่อมต่อหากต้องการ จากนั้นสร้างด้วย Web Crypto ในเบราว์เซอร์ คุณสามารถใช้ค่าเริ่มต้นนั้นกับ เครื่องมือสร้างรหัสผ่านออฟไลน์ จากนั้นเก็บค่าสุดท้ายในตัวจัดการรหัสผ่านที่เชื่อถือได้ PwdGen สร้างค่าในเครื่องในเบราว์เซอร์ด้วย Web Crypto รหัสผ่านที่สร้างขึ้นจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ของ PwdGen การออกแบบในเครื่องนั้นช่วยลดการเปิดเผยฝั่งเซิร์ฟเวอร์ แต่ไม่ได้ป้องกันทุกภัยคุกคาม ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย อุปกรณ์ที่ถูกบุกรุก หน้า phishing หรือการจัดการคลิปบอร์ดที่ไม่ปลอดภัยยังคงสามารถเปิดเผยความลับหลังจากสร้างได้
ปัญหาที่พบบ่อยที่สุดที่ควรหลีกเลี่ยงคือสำเนาที่ไม่น่าเชื่อถือ หน้าแคชที่ล้าสมัย อุปกรณ์ที่ถูกบุกรุก ส่วนขยายที่เป็นอันตราย และการบันทึกค่าที่สร้างขึ้นอย่างไม่ปลอดภัย ปัญหาเหล่านี้มีความสำคัญเพราะผู้โจมตีไม่ค่อยจำเป็นต้องเดารหัสผ่านทุกแบบเมื่อนิสัยของมนุษย์ทำให้พวกเขามีทางลัด Credential stuffing, phishing, รายการรหัสผ่านที่รั่วไหล และการละเมิดการกู้คืนบัญชีมักเป็นจริงมากกว่าการค้นหาทางคณิตศาสตร์ล้วนๆ นั่นคือเหตุผลที่คำแนะนำที่ดีที่สุดรวมคุณภาพรหัสผ่านเข้ากับการควบคุมระดับบัญชี เช่น MFA, passkeys, การจัดเก็บรหัสกู้คืน และการตรวจสอบอีเมลกู้คืนหรือการตั้งค่าโทรศัพท์เป็นประจำ
ใช้รายการตรวจสอบนี้เมื่อใช้คำแนะนำ:
- โหลดเว็บไซต์ทางการก่อนออฟไลน์
- หลีกเลี่ยงมิเรอร์ของบุคคลที่สามสำหรับงานที่ละเอียดอ่อน
- ล้างประวัติชั่วคราวเมื่อเสร็จสิ้น
- เก็บค่าสุดท้ายในตัวจัดการที่ปลอดภัย
หากเว็บไซต์ปฏิเสธการตั้งค่าที่เหมาะสม อย่าบังคับรหัสผ่านให้เป็นรูปแบบที่อ่อนแอกว่าด้วยตนเอง ปรับเปลี่ยนทีละตัวแปร หากปฏิเสธสัญลักษณ์ ให้เปิดใช้งานตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลข และเพิ่มความยาว หากความยาวสูงสุดต่ำ ให้ใช้ความยาวสูงสุดที่ยอมรับและตรวจสอบให้แน่ใจว่าค่าไม่ซ้ำ หากต้องอ่านรหัสผ่านออกเสียง พิมพ์ หรือพิมพ์บนหน้าจอทีวีหรือเราเตอร์ ให้พิจารณาไม่รวมอักขระที่สับสนและเพิ่มความยาวเพื่อชดเชยตัวอักษรที่เล็กลง
สุดท้าย จำขอบเขตของคำแนะนำรหัสผ่าน รหัสผ่านที่แข็งแกร่งคือชั้นป้องกันหนึ่งชั้น ไม่ใช่การรับประกัน ไม่สามารถทำให้หน้าเว็บ phishing ปลอดภัย แก้ไขมัลแวร์ หรือชดเชยบริการที่จัดเก็บข้อมูลประจำตัวอย่างไม่ดี นิสัยที่มีประโยชน์นั้นน่าเบื่อแต่ทนทาน: สร้างค่าที่ไม่ซ้ำ เก็บอย่างปลอดภัย ป้องกันเส้นทางการกู้คืน และเปลี่ยนใหม่อย่างรวดเร็วหากสงสัยว่ามีการเปิดเผย
ขั้นตอนต่อไปที่ปลอดภัย
หลังจากอ่านคู่มือนี้ ให้ตรวจสอบบัญชีเล็กๆ น้อยๆ แทนที่จะพยายามแก้ไขทุกอย่างพร้อมกัน เลือกบัญชีที่จะสร้างปัญหามากที่สุดหากถูกยึดครอง ยืนยันว่ารหัสผ่านไม่ซ้ำ และตรวจสอบอีเมลกู้คืน โทรศัพท์กู้คืน วิธี MFA และการจัดเก็บรหัสสำรอง หากส่วนใดของห่วงโซ่นั้นอ่อนแอ ให้ปรับปรุงส่วนนั้นก่อนย้ายไปยังบัญชีที่มีความเสี่ยงต่ำกว่า ลำดับนี้ทำให้งานจัดการได้และปกป้องบัญชีที่ผู้โจมตีมักใช้เป็นขั้นบันได สำหรับวิธีสร้างรหัสผ่านแบบออฟไลน์ ผลลัพธ์ที่ดีที่สุดคือนิสัยที่ทำซ้ำได้: สร้างในเครื่อง เก็บอย่างระมัดระวัง และหลีกเลี่ยงการใช้ซ้ำ
คำถามที่พบบ่อย
PwdGen สามารถทำงานแบบออฟไลน์ได้หรือไม่?
shell ของ PWA สามารถถูกแคชโดยเบราว์เซอร์ที่รองรับ และการสร้างยังคงเป็นแบบโลคัลเมื่อหน้าเว็บพร้อมใช้งาน
การสร้างแบบออฟไลน์ปลอดภัยกว่าโดยอัตโนมัติหรือไม่?
ไม่โดยอัตโนมัติ การบุกรุกอุปกรณ์ ส่วนขยายที่เป็นอันตราย และการเปิดเผยคลิปบอร์ดยังคงมีความสำคัญ
ขั้นตอนการทำงานออฟไลน์ที่ปลอดภัยที่สุดคืออะไร?
ใช้อุปกรณ์ที่เชื่อถือได้ เครื่องมือสร้างในเครื่องหรือ CLI ไม่มีการส่งข้อมูลผ่านเครือข่าย และใช้ตัวจัดการรหัสผ่านหรือตัวจัดการความลับในการจัดเก็บ