مدیریت رمز عبور: چگونه پسوردهایمان را مانند یک حرفه‌ای نگهداری کنیم؟

مدیریت رمز عبور! چرا؟

احتمالا شما هم جزو آن دسته از افرادی هستید که پیام‌های کارشناسان امنیتی در خصوص مدیریت رمز عبور و یا ساده‌تر عنوان کنیم، نگهداری صحیح از رمزهای عبورتان را دشنیده‌اید و با وجود اینکه می‌دانید آن‌ها درست می‌گویند، ولی باز هم احتمالا دست به کار نشده‌اید و توصیه‌ها را عملی ننموده‌اید.

قاعدتا تغییر عادات،‌مخصوصا عادات آنلاین ما، کمی مشکل است. به خصوص اگر در مورد رمز عبور باشد. اما کاری که متخصصان امنیتی انجام نمی‌دهند، ساده برخورد کردن با این موضوع است. زیرا آنها می‌دانند که:

• ۳۱% از اتفاقات امنیتی در سال ۲۰۱۳ صرفا به خاطر ضعف کلمات عبور اتفاق افتاد.
• ۵۵% کاربران اینترنتی از رمز عبور یکسان برای اغلب وب‌سایت‌ها استفاده می‌کنند.(البته به نظر من برای همه‌ی وب‌سایت‌ها)
• حملات brute-force، طی چند سال گذشته، سالیانه حداقل ۳ برابر شده است. در حال حاضر بانک‌های اطلاعاتی با بیش از ۹میلیارد نام کاربری و رمز عبور در اختیار هکرها است که از طریق بروت-فورس جمع آوری شده است.
• پنج رمز عبوری که بیشترین استفاده توسط کاربران را دارد، اینها هستند: ۱۲۳۴۵۶، ۱۲۳۴۵۶۷۸۹، ۱۲۳۴، password و ۱۲۳۴۵۶۷۸(منبع)
• ۱۵ پسوردی که بیشترین استفاده را داشته‌اند در مجموع، ۳% کل پسوردهای دنیا هستند! یعنی ۳نفر از هر ۱۰۰نفر از این پسردهای ساده استفاده می‌کنند.(منبع)

هرچند می‌توان آمار فوق را ادامه داد و آماری از این دست به وفور وجود دارد، اما اینجا قصد ندارم به آمار و ارقام بپردازم(البته این آمار و ارقام را در مطلب جداگانه‌ای برای افراد علاقه‌مند قرار خواهم داد.) در این مقاله می‌خواهم روش‌های مدیریت رمز عبور ، بدون هزینه و دردسر را به شما آموزش دهم. تنها سرمایه‌گذاری شما زمانی است که برای خواندن و پیاده سازی این مطلب می‌گذارید. به یاد داشته باشید در صورت عدم مدیریت صحیح رمزهای عبورتان، ممکن است شما هدف بعدی هکرها باشید.

۷ اشتباه مهلک در مدیریت رمز عبور:

اجازه بدهید در همین ابتدا به این نکته اشاره کنم که برای یک مدیریت صحیح نیاز است تا این اشتباهات مهلک را انجام ندهید.

1. به هیچ‌عنوان رمز عبورتان را درون یک فایل متنی، فایل اکسل،  روی کاغذ و مواردی از این دست یادداشت نکنید. چرا؟ زیرا ممکن است دزدیده شوند، اگر فیزیکی باشد، مخدوش شده یا از بین برود و اگر به صورت دیجیتالی است، ممکن است پاک شود. از همه‌ی اینها بدتر ممکن است به دست یک مجرم اینترنتی بیافتد.
2. از پسوردهای اولیه تنظیم شده بر روی سرویس‌ها و دستگاه‌ها استفاده نگنید و به عنوان اولین کار، اقدام به تعویض آن‌ها بنمائید.
3. از پسورد‌های بسیار ضعیف استفاده نکنید. ۱۵ پسورد برتر دنیا را در زیر مشاهده می‌کنید. پسورد شما که یکی از این پسوردها نیست؟!
4. از کلماتی که در دیکشنری و فرهنگ لغت(به هر زبانی) یافت می‌شوند استفاده نکنید. همچنین قید عبارات مصطلح و رایج را نیز بزنید.
5. رمز عبور شما نباید اعداد و عباراتی مختص به شما که به راحتی یافت می‌شوند، باشد. مثلا سال تولد، شماره شناسنامه و…
6. رمز‌های عبور نباید به مدت طولانی بر روی یک سرویس باقی بمانند. شما باید در دوره‌های زمانی متناوب اقدام به تعویض آن‌ها بکنید.
7. از یک رمز عبور دوبار استفاده نکنید. این یکی از بزرگترین اشتباهات است.

خوب تا اینجا گفتیم که چه کاری نباید انجام دهید. اجازه بدهید با هم بررسی کنیم که چگونه می‌توانیم با پیاده سازی یک سیستم، خطر مجرمین سایبری را کم کنیم. به خاطر داشته باشید، مجرمان سایبری افرادی هستند که می‌توانند تمام وقت خود را صرف پیدا کردن رمز عبور شما کنند. آن‌ها از سیستم‌ها و الگوریتم‌های پیشرفته‌ای استفاده می‌کنند که توانایی تست ده‌ها میلیون ترکیب مختلف را در ثانیه دارند. آیا هنوز هم فکر می‌کنید آن‌ها نمی‌توانند رمز عبور شما را پیدا کنند؟!

هکرها چگونه رمز عبور شما را می‌شکنند؟

در این قسمت تعدادی از روش‌های هکرها برای شکستن رمز عبور شما را بررسی می‌کنیم.

فیشینگ(Phishing)

یکی از روش‌های رایج هکرها برای به دست آوردن اطلاعات محرمانه کاربران، به عنوان مثال نام کاربری، رمز عبور، اطلاعات حساب بانکی شما و…، این است که آنها خودشان را در قالب و پوشش یک سازمان و نهاد جا زده و در قالب یک ایمیل و یا سایر راه‌های ارتباطی از شما می‌خواهند که اطلاعاتی برایشان ارسال کنید.

پس اگر ایمیلی مشابه به ایمیل زیر دریافت کردید،

به هیچ عنوان بر روی لینک‌های درون ایمیل کلیک نکنید و صرفا دکمه‌ی اسپم را بزنید.

بروت فورس(Brute Force):

این تاکتیک یکی از راه‌هایی است که هکرها برای یافتن رمز عبور از آن استفاده می‌کنند. در این روش کلیه حالت‌های ممکن پسورد تست می‌شود تا زمانی که به پسورد اصلی دست پیدا کنند. این روش همیشه جواب خواهد داد، و پسورد پیچیده‌تر صرفا زمان بیشتری از هکرها خواهد گرفت. مثال ملموسی که برای این موضوع در دنیای واقعی می‌توانم بزنم، باز کردن رمز کیف‌های سامسونت(رمزهای عددی سه رقمی) با امتحان کردن حالت‌های مختلف از ۰۰۰ تا ۹۹۹ است. (اولین هکی که من انجام دادم با همین روش و بر روی کیف سامسونت پدرم بود ;))

دسترسی به بانک اطلاعاتی(DataBase Hacking)

اگر هکرها بتوانند سرور را هک کرده و بانک اطلاعاتی سرور را که شامل نام کاربری و رمز عبور کاربران است را بربایند، گاها به هزاران یا شاید میلیون‌ها اطلاعات عبور دسترسی یافته‌اند که اطلاعات شما نیز یکی از آن‌هاست. صدها خبر با همین موضوع طی دو سال گذشته سرتیتر خبرها بوده است.

استفاده از کیلاگر(KeyLogging)

یکی دیگر از روش‌هایی که هکرها از آن برای به دست آوردن رمز عبور استفاده می‌کنند ذخیره کلیه کلیدهایی است که شما توسط کیبورد تایپ می‌کنید. سپس با کاوش در این اطلاعات، به جستجوی اطلاعات محرمانه‌ای مثل رمز عبور میگردند. این روش معمولا به صورت مخفیانه بوده و کاربر از اینکه فعالیت‌هایش در حال ذخیره شدن است، اطلاعی ندارد. بنابراین اگر بر روی سیستم‌تان به اینترنت بانک متصل می‌شوید و بر روی سیستم شما یک کی‌لاگر نصب شده باشد، عملا هکر به اطلاعات بانکی شما دست یافته است.

مهندسی اجتماعی(Social Engineering)

یکی از روش‌های رایج بین هکرهاست. اگرچه در این روش هکر باید دانش و آشنایی نسبی با رایانه داشته باشد، ولی عمده دانش مورد نیاز برای موفقیت، دانش روانشناسی است. در این روش قربانی متقاعد می‌شود تا اقدام خاصی انجام دهد یا اطلاعات محرمانه‌ای را افشا کند. این اطلاعات معمولا اطلاعات محرمانه‌ی کاری و یا رمز عبور هستند.

اگرچه حملات نرم‌افزارهای مخرب، مانند مردی در میان(MITM) جاسوس‌افزارها، تبلیغات‌افزارها و… و یا انواع مختلف ویروس‌ها نیز می‌توانند پسوردهای شما را به خطر بیاندازد، اما تقریبا همه‌ی هکرها، از این روش نیز برای به دست آوردن اطلاعات محرمانه استفاده می‌کنند.

نگاهی به بزرگترین نقض‌های امنیتی سال‌های گذشته، نشان می‌دهد که حتی در بزرگترین کمپانی‌های رایانه‌ای هم از طریق این روش می‌توان راه نفوذی یافت.

خوب تا الان دانستیم که هکرها چگونه ‌می‌توانند پسوردهای ما را هک کنند. اما در ادامه سعی می‌کنیم مباحثی را مطرح کنیم که زندگی سایبری شما را به دو بخش قبل از دانستن این مطلب و بعد از دانستن این مطلب تقسیم می‌شود.

چگونه یک پسورد خوب بسازیم؟

گام اول) از رمز عبورسازها استفاده کنید. این سایت‌ها و یا برنامه‌ها می‌توانند یک رمز عبور طولانی و پیچیده برای شما ایجاد کنند. شما می‌توانید تعدادی از آن‌ها را در معرفی رمزعبورسازها مشاهده کنید. و یا اینکه از یک نرم‌افزار دیگر استفاده کنید به شرطی که گام دوم را رعایت کنید.

گام دوم) مطمئن شوید که ترکیبی قوی انتخاب کرده‌اید. یک رمز عبور قوی باید، ترکیبی از حروف بزرگ و کوچک، اعداد و نشانه‌ها باشد و حداقل ۸ کاراکتر باشد. بدون اینکه از کلیدهای مجاور هم(مثل qwerty و یا ۱۲۳۴۵۶۷۸) استفاده کنید.

گام سوم) برای اکانت‌های خاص پسوردهای قوی‌تر انتخاب کنید. بعضی از حساب‌ها برای شما حیاتی محسوب می‌شوند، مثل ایمیلتان، اکانت‌های شبکه‌های اجتماعی و حساب بانکی‌تان. همچنین این پسوردها در عین پیچیدگی باید قابل به خاطرسپاری باشند تا بتوانید هرزمانی به آن‌ها دسترسی داشته باشید. گام دوم در انتخاب این رمز عبورها نیز فراموش نشود. حفظ کردن این رمزها به تقویت حافظه شما نیز کمک می‌کند;)

گام چهارم) قدرت رمز عبورتان را تست کنید. با استفاده از این وب سایت می‌توانید قدرت رمز عبورتان را محک بزنید. زمانی که رمز عبورتان را در کادر وسط این سایت وارد کنید، زمان تقریبی شکسته شدن رمز عبورتان را در ذیل کادر نمایش خواهد داد. خوب همین الان رمزعبور جدیدتان را تست کنید.

اما یک مساله دیگر. گفتیم که نباید از یک رمز عبور برای دو اکانت استفاده کنید. خوب با این حساب باید حداقل ۱۰۰ تا ۲۰۰ رمز عبور داشته باشید. حال چگونه این تعداد رمز عبور را مدیریت کنیم؟ در ادامه به راه حل این موضوع می‌پردازیم که چگونه رمز عبورمان را مدیریت کنیم؟

چگونه رمز‌های عبورمان را به صورت امن نگهداری کنیم.

گام اول) از یک نرم‌افزار مدیریت رمز عبور استفاده کنید. پیشنهاد شماره یک در تمامی مقالات همین است. چرایی این پیشنهاد واضح است. شما نیاز به حفظ کردن تنها یک رمز عبور دارید و الباقی رمزهای عبورتان در یک محیط امن و به دور از دسترس هکرها قرار خواهد داشت.

گام دوم) اگر می‌خواهید حرفه‌ای تر باشید، می‌توانید از دو برنامه مدیریت پسورد مجزا استفاده کنید. این کار باعث کاهش ریسک از دست دادن رمزهایتان می‌شوند. اگر یکی از نرم‌افزارها دچار مشکل شود(که احتمال وقوع چنین مشکلی هست) شما در یک محل دیگر رمزهای عبورتان را دارید. به قول معروف همه‌ی تخم‌مرغ‌هایتان را در یک سبد قرار ندهید.

وقتی صحبت از برنامه‌های مدیریت رمز عبور می‌شود، شما مختارید که بین نرم‌افزارهای تجاری و پولی، یا نرم‌افزارهای رایگان انتخاب کنید. مهم نیست که کدام نرم‌افزار را انتخاب می‌کنید، مهم این است که این عادت را در خود بپرورانید که همیشه رمزهای عبورتان را در این نرم‌افزار ذخیره کنید.

ممکن است بعضی به این خورده بگیرند که این نرم‌افزارها نیز دچار آپسیب‌پذیری هستند و البته این حرف کاملا درست است. اما مطمئنا به اندازه‌ی اینکه برای تمامی اکانت‌هایتان یک رمز عبور داشته باشید خطرناک نیست. ضمن اینکه این نکته را بدانید که امنیت کسب و کار آن‌هاست. پس قاعدتا آن‌ها اهمیت و اطلاعات بیشتری از من و شما دارند.

گام سوم) هرکجا امکان‌پذیر است، از رمز عبور دوعاملی استفاده کنید. این قابلیت یکی از قویترین راه‌های جلوگیری از حملات بروت‌فورس است. این قابلیت برای اکانت‌های مهم که قبلتر صحبت کردیم لازم است. این وب‌سایت، به معرفی نرم‌افزارها و سرویس‌هایی که از این قابلیت استفاده می‌کنند می‌پردازد.

گام چهارم) در خصوص اطلاعات مالی مانند اطلاعات ورود مربوط به اینترنت بانک حساسیت بسیار بیشتری به خرج دهید. رمزهای عبور بانکی را هیچ وقت تایپ نکنید و از سیستم‌های چندلایه امنیتی استفاده کنید زیرا بسیاری از هکرها دارای انگیزه‌های مالی و به دنبال پول‌های حساب شما هستند.(حتی اگر حساب بانکی میلیونی هم ندارید باز هم دقت کنید. هکرها می‌توانند از حساب شما سو استفاده‌های دیگری هم بکنند.)

ابزارهای رایگان زیادی وجود دارند که می‌توانند به شما برای محافظت آن‌لاین کمک کنند. در یک مقاله جداگانه به معرفی این نرم‌افزارها خواهم پرداخت.

گام پنج) وب‌سایت‌های مهم باید از پروتکل‌های امن بهره‌مند باشند. از وارد کردن اطلاعات محرمانه خود مثل نام کاربری و رمز عبور در وب‌سایت‌هایی که آدرس آن‌ها با HTTPS سبزرنگ شروع نمی‌شود بپرهیزید.

HTTPS  یک پروتکل ارتباطی برای برقراری ارتباط امن در بستر شبکه است. در واقع HTTPS بستری فراهم می‌کند که ارتباط بین کاربر و سرور و بالعکس رمزنگاری شده و قابلیت استراق سمع را برای هکرها تقریبا از بین می‌برد.

اگر وب‌سایتی که از آن بازدید می‌کنید از HTTPS پشتیبانی نکند، به نظر من یک بازنگری در اطلاعاتی که می‌خواهید وارد کنید داشته باشید. اگر تصمیم به ورود اطلاعات در آن وب‌سایت داشتید، حداقل اطلاعات ورودتان را ذخیره نکنید.

گام ششم) مرورگر اینترنت و سایر نرم‌افزارهایتان را به روز نگه دارید. زمانی که شما برای آپدیت نرم‌افزارهایتان صرف نمی‌کنید، باعث هموارتر شدن راه ورود هکرهایی است که از آخرین آسیب‌پذیری‌های موجود در مرورگرها و نرم‌افزارهایی مثل Java و Adobe برای سرقت اطلاعاتتان بهره می‌برند. این نکته را به یاد داشته باشید که آپدیت نرم‌افزارها صرفا باعث اضافه شدن قابلیت‌های جدید نمی‌شود. بلکه باعث رفع مشکلات امنیتی و آسیب‌پذیری‌های یافت شده نیز می‌گردد.

گام هفتم) رمزهای عبورتان را به طور متناوب تغییر دهید. حتی اگر از رمزهای عبور پیچیده و قوی استفاده می‌کنید، باز هم تازه نگه داشتن رمزهای عبورتان و تعویض مداوم آن‌ها می‌تواند احتمال سواستفاده را برای هکرها بسیار کمتر کند.

گام هشتم) رمز عبور یک مساله شخصی است. همانطور که مسواک خود را در اختیار دیگران قرا ر نمی‌دهید، رمز عبور خود را نیز باید کاملا شخصی فرض کنید. پسورد اشتراکی در دنیای امنیت جایی ندارد. اگر قصد واگذاری کار به همکارتان را دارید، اگر قصد مرخصی و یا خدای ناکرده به علت کسالت مرخصی هستید، دلیلی برای ارائه رمز عبورتان به همکارتان نیست. راه‌های اشتراک گذاری دسترسی وجود دارد که بدون به اشتراک گذاری رمز عبورتان می‌توانید از آن‌ها استفاده کنید. شاید در مقاله‌ای دیگر به تشریح روش‌های این اشتراک‌گذاری پرداختم.

همچنین باید هنگام ورود اطلاعات محرمانه، حواستان به اطرافتان باشد تا کسی به صورت دزدکی با نگاه کردن به کیبوردتان و کلیدهایی که می‌زنید، متوجه رمز عبور شما نشوند. این موضوع هم در دنیای آن‌لاین(مثلا هنگام ورود به ایمیل‌تان) و هم در دنیای آفلاین(مثلا هنگام دریافت وجه از خودپرداز) باید مد نظرتان باشد.

جمع‌بندی

رمزهای عبور همه‌جا هستند. از قبل از اینکه استفاده از روش‌های بیومتریک برای احراز هوست شروع شوند تا الان همین الان همه‌ی ما درگیر رمز‌های عبور بوده و این اطمینان را به شما می‌دهم که باز هم باشیم. پس اینکه چگونه از رمزهای عبورمان و در واقع از خودمان در دنیای مجازی و دنیای واقعی محافظت کنیم باید یک ماموریت برای ما تلقی شود.

امیدوارم مطالبی که در اینجا بیان شد، به شما کمک کند تا با محافظت از رمزهای عبورتان دنیایی امن‌تر داشته باشید.