Güvenlik rehberi

Web Crypto API Nedir?

Web Crypto API'nin tarayıcı tabanlı rastgele parola oluşturmayı nasıl desteklediğini ve sıradan JavaScript rastgeleliğinden neden farklı olduğunu öğrenin.

Özet

Web Crypto API, kriptografik işlemler için bir tarayıcı standardıdır. Parola oluşturma için en önemli özellik crypto.getRandomValues() olup, web sayfalarına parola karakterlerini seçmek için uygun, kriptografik olarak güçlü rastgele değerlere erişim sağlar.

Parolalar için neden önemlidir

Parolaların tahmin edilemez olması gerekir. Sıradan JavaScript rastgeleliği gizli bilgiler için tasarlanmamıştır. Web Crypto, tarayıcıların standart bir API aracılığıyla daha güvenli kriptografik ilkelleri kullanıma sunması için vardır. PwdGen, sınırlı rastgele seçim için bu API’yi kullanır ve parola oluşturma için Math.random() kullanmaz.

İşletim sistemi sınırı

Web Crypto, bir sayfanın donanım entropi kaynağını doğrudan kontrol ettiği anlamına gelmez. Tarayıcılar genellikle işletim sistemine ve platform kriptografi sağlayıcısına güvenir. Dikkatli bir metodoloji, Web Crypto’nun CSPRNG çıktısı sağladığını, her çağrının CPU’dan fiziksel gürültü okuduğu anlamına gelmediğini söylemelidir.

PwdGen bunu nasıl kullanır

PwdGen 32-bit rastgele tamsayılar ister, modulo yanlılığını önlemek için reddetme örneklemesi kullanır, kabul edilen değerleri karakter indekslerine eşler ve gerekli karakter sınıflarını karıştırır. Bu, uygulamayı küçük ve denetlenebilir tutar.

Ayrıntılı rehber

Bu kılavuz, Web Crypto API’yi bir tarayıcı güvenlik ilkeli olarak anlamaya odaklanır. Kullanıcılar ve geliştiriciler için yazılmıştır; tarayıcı rastgeleliğinin neden önemli olduğunu bilmek isteyenler içindir, bu nedenle pratik amaç dramatik bir güvenlik iddiası oluşturmak değildir. Amaç, günlük kullanımda hayatta kalabilecek bir parola alışkanlığı seçmektir: oturum açma formları, parola yöneticileri, mobil klavyeler, hesap kurtarma, paylaşılan cihazlar ve garip doğrulama kuralları olan hizmetler. Güvenli bir öneri, ancak gerçek bir kişi onu tutarlı bir şekilde takip edebiliyorsa kullanışlıdır.

En güvenli başlangıç noktası rastgelelik artı benzersizliktir. Rastgelelik, değerin büyük bir uzaydan kriptografik olarak uygun bir rastgele kaynak tarafından seçildiği, bir doğum günü, evcil hayvan adı, klavye deseni veya favori bir alıntıdan icat edilmediği anlamına gelir. Benzersizlik, aynı parolanın başka hiçbir yerde kullanılmaması anlamına gelir. Uzun ancak yeniden kullanılan bir parola, ilgisiz bir ihlalden sonra hızla başarısız olabilirken, benzersiz bir rastgele parola hasarı yalnızca kullanıldığı tek hesapla sınırlar.

Bu konu için pratik bir ön ayar, crypto.getRandomValues’ın mevcut olduğu modern Chrome, Edge, Safari ve Firefox’tur. Bu ön ayarı tarayıcı destek sayfası ile uygulayabilir ve ardından nihai değeri güvenilir bir parola yöneticisinde saklayabilirsiniz. PwdGen, değerleri tarayıcıda Web Crypto ile yerel olarak oluşturur; oluşturulan parola bir PwdGen sunucusuna gönderilmez. Bu yerel tasarım, sunucu tarafı maruziyetini azaltır, ancak her tehdide karşı koruma sağlamaz. Kötü amaçlı bir tarayıcı eklentisi, güvenliği ihlal edilmiş bir cihaz, bir kimlik avı sayfası veya güvenli olmayan pano işleme, oluşturulduktan sonra bir sırrı hala ifşa edebilir.

Kaçınılması gereken en yaygın sorunlar eski tarayıcılar, güvenli olmayan bağlamlar, sessizce Math.random kullanan polyfill’ler ve kodlama ile şifrelemeyi karıştırmaktır. Bu sorunlar önemlidir çünkü saldırganlar, insan alışkanlıkları onlara bir kısayol verdiğinde nadiren her olası parolayı kaba kuvvetle denemek zorunda kalır. Kimlik bilgisi doldurma, kimlik avı, sızdırılmış parola listeleri ve hesap kurtarma kötüye kullanımı, genellikle saf matematiksel bir aramadan daha gerçekçidir. Bu nedenle en iyi tavsiye, parola kalitesini MFA, geçiş anahtarları, kurtarma kodu depolama ve kurtarma e-postası veya telefon ayarlarının düzenli olarak gözden geçirilmesi gibi hesap düzeyindeki kontrollerle birleştirir.

Öneriyi uygularken bu kontrol listesini kullanın:

• Modern bir tarayıcı kullanın.
• Kendi rastgele kaynağını uygulayan araçlardan kaçının.
• Web Crypto’nun kötü amaçlı yazılımı düzeltmediğini anlayın.
• Bir oluşturucuya güvenmeden önce metodolojiyi okuyun.

Bir web sitesi ideal ayarı reddederse, parolayı elle daha zayıf bir kalıba zorlamayın. Her seferinde bir değişkeni ayarlayın. Semboller reddedilirse, büyük harf, küçük harf ve sayıları etkin bırakın ve uzunluğu artırın. Maksimum uzunluk düşükse, kabul edilen en büyük uzunluğu kullanın ve değerin benzersiz olduğundan emin olun. Bir parola yüksek sesle okunmalı, yazdırılmalı veya bir televizyon veya yönlendirici ekranında yazılmalıysa, kafa karıştırıcı karakterleri hariç tutmayı ve daha küçük alfabeyi telafi etmek için uzunluğu artırmayı düşünün.

Son olarak, parola tavsiyesinin sınırını unutmayın. Güçlü bir parola bir savunma katmanıdır, bir garanti değildir. Bir kimlik avı sayfasını güvenli hale getiremez, kötü amaçlı yazılımı düzeltemez veya kimlik bilgilerini kötü depolayan bir hizmeti telafi edemez. Yararlı alışkanlık sıkıcı ama dayanıklıdır: benzersiz bir değer oluşturun, güvenli bir şekilde saklayın, kurtarma yolunu koruyun ve maruziyetten şüpheleniyorsanız hızlıca değiştirin.

Güvenli bir sonraki adım

Bu kılavuzu okuduktan sonra, her şeyi bir anda düzeltmeye çalışmak yerine küçük bir hesap denetimi yapın. Ele geçirilmesi en çok soruna yol açacak hesabı seçin, parolasının benzersiz olduğunu onaylayın ve kurtarma e-postasını, kurtarma telefonunu, MFA yöntemini ve yedek kod depolamayı kontrol edin. Zincirin herhangi bir parçası zayıfsa, düşük riskli hesaplara geçmeden önce o parçayı iyileştirin. Bu sıralama, işi yönetilebilir tutar ve saldırganların bir basamak olarak kullanma olasılığı en yüksek olan hesapları korur. Web crypto api nedir sorusu için en iyi sonuç, tekrarlanabilir bir alışkanlıktır: yerel olarak oluşturun, dikkatlice saklayın ve yeniden kullanmaktan kaçının.

Sıkça sorulan sorular

PwdGen, Web Crypto’nun hangi bölümünü kullanır?

PwdGen, tarayıcıdan kriptografik olarak güçlü rastgele değerler istemek için crypto.getRandomValues() kullanır.

Web Crypto, her baytın doğrudan donanımdan geldiği anlamına mı gelir?

Hayır. Tarayıcılar genellikle yüksek kaliteli entropi ile tohumlanmış işletim sistemi kriptografi sağlayıcılarını kullanır; uygulamayı tarayıcı ve işletim sistemi seçer.

Web Crypto tüm tarayıcılarda mevcut mu?

Modern tarayıcılarda mevcuttur. Eksikse, PwdGen güvenli olmayan rastgeleliğe geri dönmek yerine oluşturmayı devre dışı bırakır.