安全指南

如何離線產生密碼

學習安全的方式來產生密碼，無需將產生的值傳送至伺服器，包括瀏覽器本地工具、PWA 使用、CLI 工具及其限制。

摘要

離線密碼產生表示產生的值不需要伺服器往返。PwdGen 支援瀏覽器本地產生、PWA 安裝，以及使用 Web Crypto 相容隨機性的 CLI 工作流程。

使用離線密碼產生器或開發者 CLI 說明。

瀏覽器本地離線使用

現代瀏覽器可以快取 PWA 外殼。一旦可用，密碼產生使用本機 Web Crypto。PwdGen 仍避免快取 API 回應、分析資料或產生的值。

CLI 使用

命令列產生對於想要本地工作流程而不開啟瀏覽器的開發人員和管理員很有用。將結果儲存在密碼管理器或機密管理器中，而不是 shell 歷史記錄或日誌中。

實用建議

• 使用受信任且已更新的裝置。
• 避免使用公共或共用電腦。
• 停用不受信任的擴充功能。
• 產生後安全地儲存機密。
• 適時清除剪貼簿歷史記錄。

詳細指引

本指南專注於在減少網路曝露的同時產生密碼。它是為那些希望在頁面載入後或 PWA/離線外殼中擁有可用工具的人編寫的，因此實際目標不是做出戲劇性的安全聲明。目標是選擇一種能夠在日常使用中生存的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶復原、共用裝置，以及偶爾出現具有奇怪驗證規則的服務。只有當真實的人能夠一致地遵循時，安全的建議才有用。

最安全的起點是隨機性加上唯一性。隨機性表示該值是從一個大空間中由密碼學上合適的隨機源選出的，而不是從生日、寵物名、鍵盤模式或最喜歡的引文中發明出來的。唯一性表示相同的密碼不會在其他地方使用。一個長但重複使用的密碼可能在一次不相關的洩漏後迅速失效，而一個唯一的隨機密碼將損害限制在使用它的單一帳戶。

對於這個主題，一個實用的預設是載入一個受信任的本地頁面，如果需要可以斷開網路，然後在瀏覽器中使用 Web Crypto 產生。您可以使用離線密碼產生器應用該預設，然後將最終值儲存在受信任的密碼管理器中。PwdGen 在瀏覽器中使用 Web Crypto 本地產生值；產生的密碼不會傳送到 PwdGen 伺服器。這種本地設計減少了伺服器端的曝露，但並不能防範所有威脅。惡意的瀏覽器擴充功能、受損的裝置、釣魚頁面或不安全的剪貼簿處理仍然可能在產生後曝露機密。

最常見的需要避免的問題包括不受信任的副本、過時的快取頁面、受損的裝置、惡意的擴充功能，以及不安全地儲存產生的值。這些問題很重要，因為當人類習慣給攻擊者捷徑時，攻擊者很少需要暴力破解所有可能的密碼。憑證填充、釣魚、洩漏的密碼列表和帳戶復原濫用通常比純數學搜尋更現實。這就是為什麼最佳建議將密碼品質與帳戶級別控制（如 MFA、通行金鑰、復原碼儲存以及定期檢查復原電子郵件或電話設定）相結合。

在應用建議時使用此檢查清單：

• 在離線前載入官方網站。
• 避免對敏感工作使用第三方鏡像。
• 完成後清除臨時歷史記錄。
• 將最終值儲存在安全的管理器中。

如果網站拒絕理想設定，請不要手動將密碼強制改為較弱的模式。一次調整一個變數。如果拒絕符號，請保留大寫、小寫和數字並增加長度。如果最大長度較低，請使用最大可接受長度並確保該值是唯一的。如果必須大聲朗讀、列印或在電視或路由器螢幕上輸入密碼，請考慮排除容易混淆的字元並增加長度以補償較小的字母表。

最後，記住密碼建議的邊界。強密碼是一層防禦，而不是保證。它不能使釣魚頁面安全、修復惡意軟體或補償儲存憑證不當的服務。有用的習慣是無聊但持久的：產生唯一的值，安全地儲存，保護復原路徑，並在懷疑曝露時迅速更換。

安全的下一步

閱讀本指南後，進行一次小型帳戶審計，而不是試圖一次修復所有問題。選擇一個如果被接管會造成最大麻煩的帳戶，確認其密碼是唯一的，並檢查復原電子郵件、復原電話、MFA 方法和備份碼儲存。如果該鏈的任何部分薄弱，在轉向低風險帳戶之前先改進該部分。這個順序使工作易於管理，並保護攻擊者最可能用作墊腳石的帳戶。對於如何離線產生密碼，最好的結果是可重複的習慣：本地產生，小心儲存，避免重複使用。

常見問題

PwdGen 可以離線運作嗎？

PWA 外殼可以被支援的瀏覽器快取，當頁面可用時，產生過程保持本地。

離線產生自動更安全嗎？

並非自動。裝置受損、惡意擴充功能和剪貼簿曝露仍然重要。

最安全的離線工作流程是什麼？

使用受信任的裝置、本地產生器或 CLI，不提交網路，並使用密碼管理器或機密管理器進行儲存。