اگر پیگیر اخبار مربوط به فضای مجازی بوده باشید، حتما هر هفته با چندین و چند خبر در مورد هک و یا کلاهبرداریهای اینترنتی برخورد کردهاید. در اغلب موارد، هکرها با هک نمودن رمز عبور کاربر (Password)، اقدام به ارتکاب اینگونه جرایم میکنند. بنابراین در این مقاله قصد داریم تا شما را با مفهوم رمز عبور قدرتمند و روش ایجاد آن آشنا نماییم. شما با مطالعه مطلب پیش رو قادر خواهید بود تا به راحتی یک رمز عبور قدرتمند ایجاد نمایید به طوری که به یاد سپردن آن برای شما آسان و در عین حال حدس زدن آن برای دیگران (اعم از شخص حقیقی و یا یک ربات) کاری بسیار مشکل باشد. پس در ادامه با ما در دیجی رو همراه باشید.
چگونه یک رمز عبور قدرتمند ایجاد نماییم؟
طول، طول، طول
اگر حوصله کافی برای خواندن کل این مقاله را ندارید، ما به طور خلاصه میتوانیم به شما دو توصیه بسیار مهم داشته باشیم:
1- هر چقدر طول رمز عبور بیشتر باشد، بهتر است.
2- از استفاده از رمزهای عبور شناخته شده به شدت اجتناب کنید.
در ادامه وارد جزئیات بیشتر خواهیم شد، اما در همین بخش این نکته را گوشزد میکنیم که یکی از مرسومترین روشهای شکستن رمز عبور، با عنوان حمله جستجوی فراگیر (brute force attack) شناخته میشود که در این روش، هکر با امتحان کردن لیستی از پسوردهای شناخته شده و مشهور و یا ترکیبی از آنها، به راحتی میتواند موفق به شکستن رمزهای عبور ساده شود. بنابراین هر چه قدر طول کلمه عبور بیشتر باشد به همان نسبت زمان بیشتری نیز برای حدس زدن آن نیاز خواهد بود.
مثالهای زیر را در نظر بگیرید. با استفاده از ابزار ZXCVBN password strength estimator زمان تقریبی مورد نیاز برای عبور از هر یک از رمزهای زیر را که دارای طولهای متفاوتی هستند، تخمین زدهایم:
- 9agcZ : حدود 16 دقیقه
- 9agcZE : حدود 5 ساعت (تقریباً 18 برابر قبلی)
- 9agcZEM : حدود 3 روز (تقریباً 14 برابر قبلی)
- 9agcZEM7 : حدود 4 ماه (تقریباً 40 برابر قبلی)
- 9agcZEM7H : حدود 26 سال (تقریباً 78 برابر قبلی)
- 9agcZEM7Hq : چندین قرن!
همانطور که مشاهده میکنید، اضافه کردن تنها یک کاراکتر باعث میشود تا زمان مورد نیاز برای شکستن کلمه عبور، چندین برابر شود. هکرها معمولاً نمیتوانند هزینه و زمان زیادی بر روی کلمات عبور قدرتمند صرف نمایند و بنابراین همواره به سراغ موارد راحتتر و سادهتر میروند.
البته به خاطر سپردن رمز عبوری مشابه آنچه که در بالا ذکر کردهایم، اصلاً کار سادهای نیست. بنابراین باید به دنبال راهکار بهتری باشیم …
رمز عبوری بسازید که به سادگی به خاطر سپرده شود و به سختی حدس زده شود
به صورت عملی، راحتترین راه برای ساخت یک کلمه عبور (و یا عبارت عبور) طولانی که حدس زدن آن مشکل و در عین حال به خاطر سپردن آن ساده باشد، این است که عبارتی را انتخاب نمایید که برای شما با معنی بوده ولی برای دیگران معنی خاصی نداشته باشد. به عنوان مثال به عبارت زیر توجه کنید:
“من در روز 11 فوریه 2011، در کنار دریاچه به همراه سگ خودم به نام جیمی در حال قدم زدن بودم”
با اینکه این جمله، به ظاهر هیچ نکته خاصی ندارد اما به خاطر سپردن چنین عبارات شخصی برای خود فرد، کار راحتی خواهد بود، زیرا یک پیشزمینه ذهنی نسبت به آن دارد. حال یک ماشین و یا ربات کار بسیار دشواری پیش رو خواهد داشت، اگر بخواهد با امتحان کردن ترکیبات مختلف کلمات، این جمله را حدس بزند.
با تکنولوژی کنونی در زمینه رایانهها، چندین قرن زمان لازم خواهد بود تا چنین عبارتی حدس زده شود. (این نکته را نیز به خاطر داشته باشید که استفاده از کاراکتر فاصله، کاما، اعداد و کاراکترهای ویژه، در قدرتمندتر شدن کلمه عبور تاثیر به سزایی دارند).
در ضمن توجه داشته باشد که به هیچ عنوان نباید سراغ عبارات و نقلقولهای شناخته شده بروید. زیرا هکرها به راحتی این جملات مشهور را نیز به پایگاه داده خود اضافه کرده و از آن برای حدس زدن کلمه عبور استفاده میکنند. مثلاً عبارت “بودن یا نبودن، مسئله این است” اصلا عبارت مناسبی برای استفاده به عنوان رمز عبور نیست، زیرا این جمله مشهور را علاوه بر شما، هکرها نیز بارها شنیدهاند!
رمز عبوری که به سادگی حدس زده شود و به سختی به خاطر سپرده شود نسازید
تصور نادرستی که در بین بیشتر افراد وجود دارد این است که اگر کلمهای یا عبارتی را به سختی میتوانند به خاطر بسپارند، در این صورت سایر افراد هم نمیتوانند به راحتی آن را حدس بزنند. باید بگوییم که این قضیه لزوماً همیشه درست نیست، بویژه اگر طرف حساب شما یک کامپیوتر باشد که به راحتی میتواند ترفندهای سادهای را که انسانها استفاده میکنند حدس بزند. مانند جایگزین کردن حرف L با 1 و یا حرف o با 0. پس استفاده از کلمه عبوری مانند P4ssw0rd اصلاً آنگونه که ظاهر امر نشان میدهد، ایمن نیست. تصویر زیر به خوبی این مفهوم را بیان میکند.
مدیریت صدها رمز عبور اصلاً کار سختی نیست؛ اگر از ابزار مناسبی استفاده کنید.
باید به این نکته نیز اعتراف کنیم که به خاطر سپردن صدها و شاید هزارها رمز عبور قدرتمند برای حسابهای مختلفی که هر کاربر ممکن است داشته باشد، امری غیرممکن میباشد. راه حلی که برای این مشکل میتوان معرفی کرد این است که ابتدا باید یک رمز عبور بسیار قدرتمند و ایمن ایجاد کنیم و سپس با استفاده از آن به یک برنامه مدیریت پسورد مانند Lastpass و یا 1Password وارد شده و تمامی رمزهای عبور خود را مدیریت نماییم.
همچنین میتوان با استفاده از احراز هویت دو فاکتوره (2-factor authentication)، امنیت این برنامهها را افزایش داد. حتی کاربر این نوع برنامهها، میتواند برخی تنظیمات داخل برنامه را طوری تعیین نماید تا در صورت مرگ یا ناتوانی وی، شخص دیگری که او معرفی مینماید، بتواند به اطلاعات رمزهای عبور وی دسترسی یابد.
با استفاده از برنامههای مدیریت رمز عبور، می توان کلمات عبور تصادفی مانند 9agcZEM7HqLcXX29ldQI نیز ایجاد نمود، که تاحدودی میتوانند ایمن باشند اما در عین حال به خاطر سپردن آنها نیز بسیار سخت خواهد بود.
در صورت استفاده از برنامههای مدیریت رمز عبور، با توجه به اینکه یک رمز عبور اصلی بسیار قدرتمند برای ورود به برنامه انتخاب میکنید، دیگر نیازی نیست تا رمزهای عبور متعددی را به خاطر بسپارید. اگر هم به هر دلیلی رمز عبور اصلی خود را فراموش نمودید با طی یک روند عادی (معمولاً استفاده از ایمیل) میتوانید رمز عبور خود را نوسازی نمایید.
برنامههای مدیریت رمز عبور یکی از مولفههای بسیار مهم در حفظ امنیت کاربر در فضای مجازی میباشند. این برنامهها علاوه بر مهیا نمودن امکان ساخت رمزهای عبور منحصر به فرد و قدرتمند، توانایی ایمن نمودن این رمزها را با استفاده از یک رمز عبور اصلی و همچنین استفاده از رمزگذاری قوی و احراز هویت دو فاکتوره، دارند.
در عصر حاضر، استفاده از این برنامهها باعث بهبود کیفیت زندگی کاربران و در عین حال بالا رفتن امنیت آنان خواهد شد. به کار بردن یک رمز واحد در چندین و چند حساب مختلف، با اینکه در ظاهر کاملاً منطقی و قابل درک میباشد، ولی یک روش بسیار خطرناک و با امنیت بسیار پایین به حساب میآید.
یک رمز عبور ضعیف چگونه است؟
یک رمز عبور ضعیف به رمزی اطلاق میشود که براحتی توسط هکر و یا هر مهاجم دیگری قابل حدس زدن باشد. چه این مهاجم، یک شخص حقیقی باشد و چه یک رایانه (و یا حتی شبکهای از رایانهها).
در این بین چندین روش حمله مرسوم وجود دارد که از حمله جستجوی فراگیر (brute force attack) گرفته تا مهندسی اجتماعی (social-engineering) را در بر میگیرد. در این بخش تعدادی از این روشهای متداول را معرفی میکنیم:
- حمله جستجوی فراگیر (brute force attack): عبارت است از امتحان کردن تمامی ترکیبات ممکن از کاراکترها (شامل اعداد و علائم) برای ساخت کلمات و حدس زدن رمز عبور.
- حمله واژهنامهای (Dictionary-based attack): استفاده از لیست کلمات عبور شناخته شده و پرکاربرد (به عنوان مثال password123 و 123456) برای حدس زدن رمز عبور.
- حمله فیشینگ (Phishing attack): در حمله فیشینگ، فرد مهاجم با فریب دادن مخاطب خود، اطلاعات حساب کاربری وی را مستقیماً از خود او دریافت میکند. این نوع حمله، اغلب از طریق ساخت یک ایمیل و یا صفحه وب جعلی که به ظاهر دقیقاً همانند نمونه رسمی و قانونی خود میباشد، انجام میگیرد و بدین ترتیب از کاربر درخواست میشود تا اطلاعات مهم حساب خود از قبیل کلمه عبور را وارد نماید. در نتیجه در این نوع حمله، کاربر با دست خود کلمه عبور را در اختیار هکر قرار میدهد. (برای اجتناب از افتادن در دام چنین حملاتی، هیچوقت به ایمیلی که از شما اطلاعات حسابتان را درخواست میکند، پاسخ ندهید. همچنین برای ورود به سایتهایی از قبیل سایت یک بانک، آدرس سایت را خودتان مستقیماً تایپ کنید و یا از یک موتور جستجوی ایمن همانند گوگل برای یافتن آدرس موردنظر استفاده نمایید).
- مهندسی اجتماعی (Social engineering): این روش کمتر از سایر مواردی که ذکر کردیم مورد استفاده هکرها واقع میشود. در این نوع حمله، فرد هکر با جلب اعتماد شخص مورد نظر، اقدام به سرقت اطلاعات وی و یا دسترسی به رایانه و یا حتی شبکه وی مینماید. از این حملهها معمولاً برای جاسوسی از مراکز صنعتی استفاده میشود.
ضعف امنیتی شرکتهای سرویس دهنده خود را فراموش نکنید
ضعف تدابیر امنیتی در شرکتها میتواند موجب دزدیده شدن دسته جمعی اطلاعات تعداد زیادی از کاربران گردد و میلیونها ایمیل و رمز عبور را به صورت یکجا در دسترس هکرها قرار دهد. هیچ شکی نکنید که حتی شرکتهای بزرگ نیز برخی اوقات سهلانگاریهایی انجام میدهند که باعث لو رفتن اطلاعات کاربرانشان میشود. مانند ذخیره ایمیلها و رمزهای عبور بدون رمزگذاری کردن آنها و یا استفاده از یک کلید مشترک، برای رمزگذاری تمامی اطلاعات مربوط به حسابهای کاربری.
در اینگونه موارد، شما به عنوان یک کاربر عادی، کار چندانی نمیتوانید انجام دهید و باید همیشه این احتمال را مد نظر داشته باشید که رمز عبورتان ممکن است در نتیجه یک اشتباه امنیتی و یا سهلانگاری از سوی شرکت خدمات دهنده، لو رفته و مورد سرقت واقع شود. در ضمن بهتر است تا اخبار مربوط به هک شدن شرکتها را پیگیری کنید تا از وسعت مشکل بوجود آمده اطلاع حاصل نمایید.
این مسئله نیز یکی دیگر از دلایلی است که اهمیت استفاده از نامهای کاربری و رمزهای عبور مختلف برای سرویسهای متفاوت را آشکار میکند. استفاده از کلمات عبور متنوع برای سایتها و سرویسهای مختلف باعث خواهد شد تا احتمال هک شدن تمامی حسابهای کاربری، تنها به واسطه لو رفتن یکی از آنها، بسیار کاهش یابد.
امنیت ایمیل؛ یکی از نقاط ضعف کاربران
هک کردن ایمیل کاربران، یکی از روشهای ترجیحی هکرها برای دستیابی به اطلاعات بیشتر در مورد آنها می باشد. بنابراین همواره از ایمن بودن ایمیل خود با استفاده از یک رمز عبور قدرتمند و احراز هویت دو فاکتوره، اطمینان حاصل نمایید. پیشنهاد میکنیم تا حتماً از سرویس دهندههای ایمیلی استفاده نمایید که بتوانند این سطح امنیتی را برایتان مهیا کنند.
اگر یک فرد مهاجم به اطلاعات ایمیل شما دسترسی پیدا کند، در این صورت به راحتی قادر خواهد بود تا رمزهای عبور شما در سایر سرویسها مانند فیسبوک و … را نوسازی نماید، زیرا همانطور که اطلاع دارید اکثر سایتها و سرویس دهندهها از طریق ارسال لینک تغییر رمز عبور به ایمیل کاربر، اقدام به نوسازی آن مینمایند.
در انتها باید به این نکته اشاره نماییم که بسیاری از اطلاعات شخصی کاربران که به عنوان رمزهای عبور استفاده میشوند، میتوانند توسط کسی که انگیزه لازم را داشته باشد کشف شوند، و یا از طریق یک مهندسی اجتماعی ساده در دست کسانی که به ظاهر موجه و قانونی به نظر میرسند، قرار گیرند.
از همین حالا شروع کنید
استفاده از رمزهای عبور قدرتمند و همچنین برنامههای مدیریت رمز عبور، به طور حتم در بالابردن امنیت کاربران و ارتقای کیفیت زندگی آنها در عصر تکنولوژی، نقش بسیار مهمی دارد. پس اگر تا به حال نسبت به مواردی که در این مقاله ذکر کردیم، بیتفاوت بودهاید، به هیچ عنوان وقت را تلف نکنید و هر چه زودتر با استفاده از راهکارهای ارائه شده، امنیت خود را در فضای مجازی ارتقا دهید. مطمئن باشید با صرف کمی وقت قادر خواهید بود تا از عواقب وخیم و گاه جبرانناپذیر بعدی جلوگیری نمایید.