احتمالا تا به حال تعدادی توصیه امنیتی برای امنیت کلمه عبور شنیدهاید، مثل اینکه از «password» به عنوان کلمه عبورتان استفاده نکنید. اما میدانستید که کلمه عبوری مثل «Ch@ll3ng3r%$» خیلی هم امنتر از قبلی نیست؟ بله، حروف بزرگ و کوچک و حروف خاص زیادی دارد، مثل چیزی که تا به حال زمان ساخت حساب جدید به آن توصیه شده بودید. و با این حال، یک هکر میتواند آن را با یک حمله فرهنگ لغت (Dictionary Attack) در یک یا دو ساعت بشکند. «Challenger» یک کلمه پر کاربرد است و تغییرات آن بسیار ساده هستند که اکثر هکرها را گمراه نمیکند.
ممکن است فکر کنید که هیچ هکری تلاش نمیکند به شخص شما حمله کند، و احتمالا هم حق با شماست. خطر این نیست که هکر شما را هدف قرار دهد، بلکه آن است که کلمه عبور شما جزئی از یک درز داده بزرگتر باشد. اگر شما از یک کلمه عبور ضعیف استفاده کنید، هکرها میتوانند آن را به همراه رمزهای عبور ضعیف دیگر از دیتابیس استخراج کنند.
بنابراین، هدف شما ساختن یک کلمه عبور است که شکستنش برای یک هکر با یک رایانه سخت باشد، در حالی که بتوان آن را به سادگی به خاطر سپرد. این مطلب دقیقا توضیح میدهد که چطور این کار را انجام دهیم، همچنین چند توصیه راجع به آنکه با کلمه عبور امنی که ساختیم چکار کنیم. اما ابتدا، بهتر است کمی راجع به نحوه استفاده سرویسهای آنلاین از کلمات عبور برای دسترسی دادن به ما و نحوه سرقت آنها توسط هکرها صحبت کنیم.
چگونه کلمات عبور ساخته و دزدیده میشوند؟
یک کلمه عبور یک راه است که تایید شود که یک کاربر به یک حساب کاربری یا یک دستگاه دسترسی دارد یا نه. زمانی که یک حساب کاربری جدید روی یک سرویس آنلاین میسازید، رمز عبوری که میسازید از یک الگوریتم ویژه عبور میکند و تبدیل به یک رشته حروف و عدد میشود که به عنوان «هَش» نیز شناخته میشوند. با این روش، اگر زمانی دیتابیس کاربران درز پیدا کند یا لو برود، کلمات عبور به صورت متنی در دسترس هکر نخواهند بود. بار بعد که شما کلمه عبورتان را وارد میکنید تا وارد حسابتان شوید، کلمه عبور دوباره به هَش تبدیل میشود و با مقدار هَش درون دیتابیس مقایسه میشود. اگر با آن یکی بود، شما به حسابتان دسترسی پیدا میکنید.
درز کردن دادهها معمول شده، و هکرها معمولا به دیتابیسهای بزرگ از هشها دسترسی دارند. برای تبدیل هش به متن کلمه عبور، تمام کاری که باید بکنند این است که کلمات عبور مختلف را (که خود میسازد یا از دیتابیسی دیگر میآورد) از الگوریتم عبور دهند و ببینند هَش ها برابر میشود یا نه. یک رایانه قدرتمند میتواند ملیونها ترکیب حروف را در ثانیه آزمایش کند. یک روش، حمله brute-force نام دارد که سعی میکند همه ترکیبهای مختلف حروف را بسازد، مثلا با «۰۰۰۰۰۰۰»، «۰۰۰۰۰۰۱»، و… شروع میکند و ادامه میدهد. این پروسه آهسته است، اما احتمالا نه به آرامی که شما فکر میکنید. یک رایانه رومیزی که ۱۲ سال پیش ساخته شده، میتواند کلمات عبور پنج حرفی که فقط حروف کوچک و عدد دارند را در ۲۳ ساعت بشکند.
چطور یک کلمه عبور قوی بسازیم؟
یک کلمه عبور قوی، آن است که به سادگی به خاطر سپرده شود، اما شکستنش برای یک هکر باهوش با کمک یک رایانه قوی برای حدس زدن سخت باشد. کلمات عبور کوتاه که از کلمات ساده و ترکیبات آن استفاده میکنند به سادگی شکسته میشوند. اما یک رمز طولانی با استفاده از حروف تصادفی سخت به خاطر سپرده میشود و ممکن است شما را وسوسه کند که چندین بار از آن در حسابهای مختلف استفاده کنید. (این کار را نکنید). بهترین راه حل برای بیشتر مردم استفاده از یک مدیر رمز عبور رمزنگاری شده و یک عبارت عبور طولانی به عنوان کلمه عبور اصلی آن است.
یک روش دیگر، حمله فرهنگ لغت نام دارد، که با استفاده از کلمات پر کاربرد، تعویض حروف (مثلا 3 به جای E)، اعداد و ترکیباتشان (مثلا یک نام حیوان خانگی به علاوه تاریخ شش حرفی) در زمان هکر صرفهجویی میکند. حملات فرهنگ لغتی میتوانند برنامهنویسی شوند تا انواع ترکیبات زیادی را انتظار داشته باشند. بنابراین، حتی کلمه عبوری مانند «Pr0tonmai1#%$» نسبتا قابل پیشبینیست و میتواند توسط هکر در نظر گرفته شود.
پیشنهاد ما این است:
قدم اول: یک مدیر کلمه عبور قابل اطمینان و سر تا سر رمزنگاری شده دانلود و نصب کنید. اینها همه گزینههای خوبی هستند: Bitwarden, KeePass, LastPass,1Password
قدم دوم: از مدیر کلمه عبور خود استفاده کنید تا یک کلمه عبور تصادفی و یکتا برای هرکدام از حسابهای کاربریتان بسازید. تنظیمات طول و ترکیب حروف پیشفرض کاملا مناسب هستند، اما اگر بخواهید میتوانید آنها را طولانیتر کنید.
قدم سوم: برای مدیر کلمه عبور و هر کلمه عبور دیگری که باید به خاطر بسپارید، ما استفاده از یک عبارت عبور را پیشنهاد میکنیم.
میتوانید راجع به عبارات عبور در مطالب قبلی بخوانید. معمولا، شما باید از چهار یا پنج کلمه تصادفی و کم کاربرد استفاده کنید. دانشمند کامپیوتر، مایک پاوند همچنین پیشنهاد میکند که کاراکترهای خاص نیز در میان کلمات اضافه کنید، بنابراین یک کلمه عبور مانند «colloquyemphy9semaspectermalevolent» میتواند یک کلمه عبور قوی باشد.
البته، مشکل تجویز کردن یک روش برای ساخت کلمه عبور آن است که هکرها حالا تلاش میکنند تا این ترکیب را هم به فرهنگ لغتشان اضافه کنند. ساخت یک کلمه عبور خوب نیاز به مقداری خلاقیت در خود شما دارد تا به روشی خوب با میزان آنتروپی خوب برسید.
با کلمه عبور امنی که ساختیم چکار کنیم؟
اول از همه، بین حسابهای مختلف از آنها دوباره استفاده نکنید. اگر کلمه عبور شما به هر طریقی درز پیدا کند (شاید با یک حمله فیشینگ (نحوه جلوگیری)، مهندسی اجتماعی، کیلاگر و…) حمله کننده میتواند پس از آن از کلمه عبور شما استفاده کند تا وارد حسابهای کاربری شما در سرویسهای دیگر شود. این یک دلیل است تا حتما از ورود دو مرحلهای نیز استفاده کنید.
بسته به میزان امنیتی که میخواهید، ممکن است ایده خوبی باشد یا نباشد که کلمه عبورتان را روی کاغذ بنویسید. راههای هوشمندانهای وجود دارند تا نوشتههای شما را امن نگه دارند.
همچنین، کمی هم راجع به نرمافزارهای مدیریت کلمه عبور؛ هیچ سیستمی ۱۰۰٪ امن نیست، و قبلا در این برنامهها نیز مشکلات امنیتی پیدا شده است. بسته به میزان امنیتی که نیاز دارید، یک مدیر کلمه عبور میتواند برای شما مناسب باشد یا نباشد. اما ما بر این باوریم که مزایای یک مدیر کلمه عبور، از ریسک آن برای اکثر کاربران بیشتر است. (میتوانید راجع به یکپارچه سازی مدیر کلمه عبورتان با پروتنمیل نیز اینجا بخوانید)
این مطلب بخشی از یک سری مطالب راجع به کلمه عبور بود، میتوانید مطالب دیگر را اینجا بخوانید:
لینک مطلب اصلی: