معرفی ۴ ابزار برای ساخت رمز عبور (رمزعبورساز)
8 دسامبر 2016BUG – باگ
8 دسامبر 2016مدیریت رمز عبور! چرا؟
احتمالا شما هم جزو آن دسته از افرادی هستید که پیامهای کارشناسان امنیتی در خصوص مدیریت رمز عبور و یا سادهتر عنوان کنیم، نگهداری صحیح از رمزهای عبورتان را دشنیدهاید و با وجود اینکه میدانید آنها درست میگویند، ولی باز هم احتمالا دست به کار نشدهاید و توصیهها را عملی ننمودهاید.
قاعدتا تغییر عادات،مخصوصا عادات آنلاین ما، کمی مشکل است. به خصوص اگر در مورد رمز عبور باشد. اما کاری که متخصصان امنیتی انجام نمیدهند، ساده برخورد کردن با این موضوع است. زیرا آنها میدانند که:
- ۳۱% از اتفاقات امنیتی در سال ۲۰۱۳ صرفا به خاطر ضعف کلمات عبور اتفاق افتاد.
- ۵۵% کاربران اینترنتی از رمز عبور یکسان برای اغلب وبسایتها استفاده میکنند.(البته به نظر من برای همهی وبسایتها)
- حملات brute-force، طی چند سال گذشته، سالیانه حداقل ۳ برابر شده است. در حال حاضر بانکهای اطلاعاتی با بیش از ۹میلیارد نام کاربری و رمز عبور در اختیار هکرها است که از طریق بروت-فورس جمع آوری شده است.
- پنج رمز عبوری که بیشترین استفاده توسط کاربران را دارد، اینها هستند: ۱۲۳۴۵۶، ۱۲۳۴۵۶۷۸۹، ۱۲۳۴، password و ۱۲۳۴۵۶۷۸(منبع)
- ۱۵ پسوردی که بیشترین استفاده را داشتهاند در مجموع، ۳% کل پسوردهای دنیا هستند! یعنی ۳نفر از هر ۱۰۰نفر از این پسردهای ساده استفاده میکنند.(منبع)
اگر از یک رمز عبور بیش از یکبار استفاده کردهاید این مقاله برای شماست. به خواندن ادامه دهید.
هرچند میتوان آمار فوق را ادامه داد و آماری از این دست به وفور وجود دارد، اما اینجا قصد ندارم به آمار و ارقام بپردازم(البته این آمار و ارقام را در مطلب جداگانهای برای افراد علاقهمند قرار خواهم داد.) در این مقاله میخواهم روشهای مدیریت رمز عبور ، بدون هزینه و دردسر را به شما آموزش دهم. تنها سرمایهگذاری شما زمانی است که برای خواندن و پیاده سازی این مطلب میگذارید. به یاد داشته باشید در صورت عدم مدیریت صحیح رمزهای عبورتان، ممکن است شما هدف بعدی هکرها باشید.
۷ اشتباه مهلک در مدیریت رمز عبور:
اجازه بدهید در همین ابتدا به این نکته اشاره کنم که برای یک مدیریت صحیح نیاز است تا این اشتباهات مهلک را انجام ندهید.
- به هیچعنوان رمز عبورتان را درون یک فایل متنی، فایل اکسل، روی کاغذ و مواردی از این دست یادداشت نکنید. چرا؟ زیرا ممکن است دزدیده شوند، اگر فیزیکی باشد، مخدوش شده یا از بین برود و اگر به صورت دیجیتالی است، ممکن است پاک شود. از همهی اینها بدتر ممکن است به دست یک مجرم اینترنتی بیافتد.
- از پسوردهای اولیه تنظیم شده بر روی سرویسها و دستگاهها استفاده نگنید و به عنوان اولین کار، اقدام به تعویض آنها بنمائید.
- از پسوردهای بسیار ضعیف استفاده نکنید. ۱۵ پسورد برتر دنیا را در زیر مشاهده میکنید. پسورد شما که یکی از این پسوردها نیست؟!
- از کلماتی که در دیکشنری و فرهنگ لغت(به هر زبانی) یافت میشوند استفاده نکنید. همچنین قید عبارات مصطلح و رایج را نیز بزنید.
- رمز عبور شما نباید اعداد و عباراتی مختص به شما که به راحتی یافت میشوند، باشد. مثلا سال تولد، شماره شناسنامه و…
- رمزهای عبور نباید به مدت طولانی بر روی یک سرویس باقی بمانند. شما باید در دورههای زمانی متناوب اقدام به تعویض آنها بکنید.
- از یک رمز عبور دوبار استفاده نکنید. این یکی از بزرگترین اشتباهات است.
خوب تا اینجا گفتیم که چه کاری نباید انجام دهید. اجازه بدهید با هم بررسی کنیم که چگونه میتوانیم با پیاده سازی یک سیستم، خطر مجرمین سایبری را کم کنیم. به خاطر داشته باشید، مجرمان سایبری افرادی هستند که میتوانند تمام وقت خود را صرف پیدا کردن رمز عبور شما کنند. آنها از سیستمها و الگوریتمهای پیشرفتهای استفاده میکنند که توانایی تست دهها میلیون ترکیب مختلف را در ثانیه دارند. آیا هنوز هم فکر میکنید آنها نمیتوانند رمز عبور شما را پیدا کنند؟!
هکرها چگونه رمز عبور شما را میشکنند؟
در این قسمت تعدادی از روشهای هکرها برای شکستن رمز عبور شما را بررسی میکنیم.
فیشینگ(Phishing)
یکی از روشهای رایج هکرها برای به دست آوردن اطلاعات محرمانه کاربران، به عنوان مثال نام کاربری، رمز عبور، اطلاعات حساب بانکی شما و…، این است که آنها خودشان را در قالب و پوشش یک سازمان و نهاد جا زده و در قالب یک ایمیل و یا سایر راههای ارتباطی از شما میخواهند که اطلاعاتی برایشان ارسال کنید.
پس اگر ایمیلی مشابه به ایمیل زیر دریافت کردید،
به هیچ عنوان بر روی لینکهای درون ایمیل کلیک نکنید و صرفا دکمهی اسپم را بزنید.
بروت فورس(Brute Force):
این تاکتیک یکی از راههایی است که هکرها برای یافتن رمز عبور از آن استفاده میکنند. در این روش کلیه حالتهای ممکن پسورد تست میشود تا زمانی که به پسورد اصلی دست پیدا کنند. این روش همیشه جواب خواهد داد، و پسورد پیچیدهتر صرفا زمان بیشتری از هکرها خواهد گرفت. مثال ملموسی که برای این موضوع در دنیای واقعی میتوانم بزنم، باز کردن رمز کیفهای سامسونت(رمزهای عددی سه رقمی) با امتحان کردن حالتهای مختلف از ۰۰۰ تا ۹۹۹ است. (اولین هکی که من انجام دادم با همین روش و بر روی کیف سامسونت پدرم بود ;))
دسترسی به بانک اطلاعاتی(DataBase Hacking)
اگر هکرها بتوانند سرور را هک کرده و بانک اطلاعاتی سرور را که شامل نام کاربری و رمز عبور کاربران است را بربایند، گاها به هزاران یا شاید میلیونها اطلاعات عبور دسترسی یافتهاند که اطلاعات شما نیز یکی از آنهاست. صدها خبر با همین موضوع طی دو سال گذشته سرتیتر خبرها بوده است.
استفاده از کیلاگر(KeyLogging)
یکی دیگر از روشهایی که هکرها از آن برای به دست آوردن رمز عبور استفاده میکنند ذخیره کلیه کلیدهایی است که شما توسط کیبورد تایپ میکنید. سپس با کاوش در این اطلاعات، به جستجوی اطلاعات محرمانهای مثل رمز عبور میگردند. این روش معمولا به صورت مخفیانه بوده و کاربر از اینکه فعالیتهایش در حال ذخیره شدن است، اطلاعی ندارد. بنابراین اگر بر روی سیستمتان به اینترنت بانک متصل میشوید و بر روی سیستم شما یک کیلاگر نصب شده باشد، عملا هکر به اطلاعات بانکی شما دست یافته است.
مهندسی اجتماعی(Social Engineering)
یکی از روشهای رایج بین هکرهاست. اگرچه در این روش هکر باید دانش و آشنایی نسبی با رایانه داشته باشد، ولی عمده دانش مورد نیاز برای موفقیت، دانش روانشناسی است. در این روش قربانی متقاعد میشود تا اقدام خاصی انجام دهد یا اطلاعات محرمانهای را افشا کند. این اطلاعات معمولا اطلاعات محرمانهی کاری و یا رمز عبور هستند.
اگرچه حملات نرمافزارهای مخرب، مانند مردی در میان(MITM) جاسوسافزارها، تبلیغاتافزارها و… و یا انواع مختلف ویروسها نیز میتوانند پسوردهای شما را به خطر بیاندازد، اما تقریبا همهی هکرها، از این روش نیز برای به دست آوردن اطلاعات محرمانه استفاده میکنند.
نگاهی به بزرگترین نقضهای امنیتی سالهای گذشته، نشان میدهد که حتی در بزرگترین کمپانیهای رایانهای هم از طریق این روش میتوان راه نفوذی یافت.
خوب تا الان دانستیم که هکرها چگونه میتوانند پسوردهای ما را هک کنند. اما در ادامه سعی میکنیم مباحثی را مطرح کنیم که زندگی سایبری شما را به دو بخش قبل از دانستن این مطلب و بعد از دانستن این مطلب تقسیم میشود.
چگونه یک پسورد خوب بسازیم؟
گام اول) از رمز عبورسازها استفاده کنید. این سایتها و یا برنامهها میتوانند یک رمز عبور طولانی و پیچیده برای شما ایجاد کنند. شما میتوانید تعدادی از آنها را در معرفی رمزعبورسازها مشاهده کنید. و یا اینکه از یک نرمافزار دیگر استفاده کنید به شرطی که گام دوم را رعایت کنید.
گام دوم) مطمئن شوید که ترکیبی قوی انتخاب کردهاید. یک رمز عبور قوی باید، ترکیبی از حروف بزرگ و کوچک، اعداد و نشانهها باشد و حداقل ۸ کاراکتر باشد. بدون اینکه از کلیدهای مجاور هم(مثل qwerty و یا ۱۲۳۴۵۶۷۸) استفاده کنید.
گام سوم) برای اکانتهای خاص پسوردهای قویتر انتخاب کنید. بعضی از حسابها برای شما حیاتی محسوب میشوند، مثل ایمیلتان، اکانتهای شبکههای اجتماعی و حساب بانکیتان. همچنین این پسوردها در عین پیچیدگی باید قابل به خاطرسپاری باشند تا بتوانید هرزمانی به آنها دسترسی داشته باشید. گام دوم در انتخاب این رمز عبورها نیز فراموش نشود. حفظ کردن این رمزها به تقویت حافظه شما نیز کمک میکند;)
گام چهارم) قدرت رمز عبورتان را تست کنید. با استفاده از این وب سایت میتوانید قدرت رمز عبورتان را محک بزنید. زمانی که رمز عبورتان را در کادر وسط این سایت وارد کنید، زمان تقریبی شکسته شدن رمز عبورتان را در ذیل کادر نمایش خواهد داد. خوب همین الان رمزعبور جدیدتان را تست کنید.
اما یک مساله دیگر. گفتیم که نباید از یک رمز عبور برای دو اکانت استفاده کنید. خوب با این حساب باید حداقل ۱۰۰ تا ۲۰۰ رمز عبور داشته باشید. حال چگونه این تعداد رمز عبور را مدیریت کنیم؟ در ادامه به راه حل این موضوع میپردازیم که چگونه رمز عبورمان را مدیریت کنیم؟
چگونه رمزهای عبورمان را به صورت امن نگهداری کنیم.
گام اول) از یک نرمافزار مدیریت رمز عبور استفاده کنید. پیشنهاد شماره یک در تمامی مقالات همین است. چرایی این پیشنهاد واضح است. شما نیاز به حفظ کردن تنها یک رمز عبور دارید و الباقی رمزهای عبورتان در یک محیط امن و به دور از دسترس هکرها قرار خواهد داشت.
گام دوم) اگر میخواهید حرفهای تر باشید، میتوانید از دو برنامه مدیریت پسورد مجزا استفاده کنید. این کار باعث کاهش ریسک از دست دادن رمزهایتان میشوند. اگر یکی از نرمافزارها دچار مشکل شود(که احتمال وقوع چنین مشکلی هست) شما در یک محل دیگر رمزهای عبورتان را دارید. به قول معروف همهی تخممرغهایتان را در یک سبد قرار ندهید.
وقتی صحبت از برنامههای مدیریت رمز عبور میشود، شما مختارید که بین نرمافزارهای تجاری و پولی، یا نرمافزارهای رایگان انتخاب کنید. مهم نیست که کدام نرمافزار را انتخاب میکنید، مهم این است که این عادت را در خود بپرورانید که همیشه رمزهای عبورتان را در این نرمافزار ذخیره کنید.
ممکن است بعضی به این خورده بگیرند که این نرمافزارها نیز دچار آپسیبپذیری هستند و البته این حرف کاملا درست است. اما مطمئنا به اندازهی اینکه برای تمامی اکانتهایتان یک رمز عبور داشته باشید خطرناک نیست. ضمن اینکه این نکته را بدانید که امنیت کسب و کار آنهاست. پس قاعدتا آنها اهمیت و اطلاعات بیشتری از من و شما دارند.
گام سوم) هرکجا امکانپذیر است، از رمز عبور دوعاملی استفاده کنید. این قابلیت یکی از قویترین راههای جلوگیری از حملات بروتفورس است. این قابلیت برای اکانتهای مهم که قبلتر صحبت کردیم لازم است. این وبسایت، به معرفی نرمافزارها و سرویسهایی که از این قابلیت استفاده میکنند میپردازد.
گام چهارم) در خصوص اطلاعات مالی مانند اطلاعات ورود مربوط به اینترنت بانک حساسیت بسیار بیشتری به خرج دهید. رمزهای عبور بانکی را هیچ وقت تایپ نکنید و از سیستمهای چندلایه امنیتی استفاده کنید زیرا بسیاری از هکرها دارای انگیزههای مالی و به دنبال پولهای حساب شما هستند.(حتی اگر حساب بانکی میلیونی هم ندارید باز هم دقت کنید. هکرها میتوانند از حساب شما سو استفادههای دیگری هم بکنند.)
ابزارهای رایگان زیادی وجود دارند که میتوانند به شما برای محافظت آنلاین کمک کنند. در یک مقاله جداگانه به معرفی این نرمافزارها خواهم پرداخت.
گام پنج) وبسایتهای مهم باید از پروتکلهای امن بهرهمند باشند. از وارد کردن اطلاعات محرمانه خود مثل نام کاربری و رمز عبور در وبسایتهایی که آدرس آنها با HTTPS سبزرنگ شروع نمیشود بپرهیزید.
HTTPS یک پروتکل ارتباطی برای برقراری ارتباط امن در بستر شبکه است. در واقع HTTPS بستری فراهم میکند که ارتباط بین کاربر و سرور و بالعکس رمزنگاری شده و قابلیت استراق سمع را برای هکرها تقریبا از بین میبرد.
اگر وبسایتی که از آن بازدید میکنید از HTTPS پشتیبانی نکند، به نظر من یک بازنگری در اطلاعاتی که میخواهید وارد کنید داشته باشید. اگر تصمیم به ورود اطلاعات در آن وبسایت داشتید، حداقل اطلاعات ورودتان را ذخیره نکنید.
گام ششم) مرورگر اینترنت و سایر نرمافزارهایتان را به روز نگه دارید. زمانی که شما برای آپدیت نرمافزارهایتان صرف نمیکنید، باعث هموارتر شدن راه ورود هکرهایی است که از آخرین آسیبپذیریهای موجود در مرورگرها و نرمافزارهایی مثل Java و Adobe برای سرقت اطلاعاتتان بهره میبرند. این نکته را به یاد داشته باشید که آپدیت نرمافزارها صرفا باعث اضافه شدن قابلیتهای جدید نمیشود. بلکه باعث رفع مشکلات امنیتی و آسیبپذیریهای یافت شده نیز میگردد.
گام هفتم) رمزهای عبورتان را به طور متناوب تغییر دهید. حتی اگر از رمزهای عبور پیچیده و قوی استفاده میکنید، باز هم تازه نگه داشتن رمزهای عبورتان و تعویض مداوم آنها میتواند احتمال سواستفاده را برای هکرها بسیار کمتر کند.
گام هشتم) رمز عبور یک مساله شخصی است. همانطور که مسواک خود را در اختیار دیگران قرا ر نمیدهید، رمز عبور خود را نیز باید کاملا شخصی فرض کنید. پسورد اشتراکی در دنیای امنیت جایی ندارد. اگر قصد واگذاری کار به همکارتان را دارید، اگر قصد مرخصی و یا خدای ناکرده به علت کسالت مرخصی هستید، دلیلی برای ارائه رمز عبورتان به همکارتان نیست. راههای اشتراک گذاری دسترسی وجود دارد که بدون به اشتراک گذاری رمز عبورتان میتوانید از آنها استفاده کنید. شاید در مقالهای دیگر به تشریح روشهای این اشتراکگذاری پرداختم.
همچنین باید هنگام ورود اطلاعات محرمانه، حواستان به اطرافتان باشد تا کسی به صورت دزدکی با نگاه کردن به کیبوردتان و کلیدهایی که میزنید، متوجه رمز عبور شما نشوند. این موضوع هم در دنیای آنلاین(مثلا هنگام ورود به ایمیلتان) و هم در دنیای آفلاین(مثلا هنگام دریافت وجه از خودپرداز) باید مد نظرتان باشد.
جمعبندی
رمزهای عبور همهجا هستند. از قبل از اینکه استفاده از روشهای بیومتریک برای احراز هوست شروع شوند تا الان همین الان همهی ما درگیر رمزهای عبور بوده و این اطمینان را به شما میدهم که باز هم باشیم. پس اینکه چگونه از رمزهای عبورمان و در واقع از خودمان در دنیای مجازی و دنیای واقعی محافظت کنیم باید یک ماموریت برای ما تلقی شود.
امیدوارم مطالبی که در اینجا بیان شد، به شما کمک کند تا با محافظت از رمزهای عبورتان دنیایی امنتر داشته باشید.