۳ توصیه امنیتی راجع به ساخت کلمه عبور امن

احتمالا تا به حال تعدادی توصیه امنیتی برای امنیت کلمه عبور شنیده‌اید، مثل اینکه از «password» به عنوان کلمه عبورتان استفاده نکنید. اما می‌دانستید که کلمه عبوری مثل «Ch@ll3ng3r%$» خیلی هم امن‌تر از قبلی نیست؟ بله، حروف بزرگ و کوچک و حروف خاص زیادی دارد، مثل چیزی که تا به حال زمان ساخت حساب جدید به آن توصیه شده بودید. و با این حال، یک هکر می‌تواند آن را با یک حمله فرهنگ لغت (Dictionary Attack) در یک یا دو ساعت بشکند. «Challenger» یک کلمه پر کاربرد است و تغییرات آن بسیار ساده هستند که اکثر هکرها را گمراه نمی‌کند.

ممکن است فکر کنید که هیچ هکری تلاش نمی‌کند به شخص شما حمله کند، و احتمالا هم حق با شماست. خطر این نیست که هکر شما را هدف قرار دهد، بلکه آن است که کلمه عبور شما جزئی از یک درز داده بزرگتر باشد. اگر شما از یک کلمه عبور ضعیف استفاده کنید، هکرها می‌توانند آن را به همراه رمزهای عبور ضعیف دیگر از دیتابیس استخراج کنند.

بنابراین، هدف شما ساختن یک کلمه عبور است که شکستنش برای یک هکر با یک رایانه سخت باشد، در حالی که بتوان آن را به سادگی به خاطر سپرد. این مطلب دقیقا توضیح می‌دهد که چطور این کار را انجام دهیم، همچنین چند توصیه راجع به آنکه با کلمه عبور امنی که ساختیم چکار کنیم. اما ابتدا، بهتر است کمی راجع به نحوه استفاده سرویس‌های آنلاین از کلمات عبور برای دسترسی دادن به ما و نحوه سرقت آنها توسط هکرها صحبت کنیم.

چگونه کلمات عبور ساخته و دزدیده می‌شوند؟

یک کلمه عبور یک راه است که تایید شود که یک کاربر به یک حساب کاربری یا یک دستگاه دسترسی دارد یا نه. زمانی که یک حساب کاربری جدید روی یک سرویس آنلاین می‌سازید، رمز عبوری که می‌سازید از یک الگوریتم ویژه عبور می‌کند و تبدیل به یک رشته حروف و عدد می‌شود که به عنوان «هَش» نیز شناخته می‌شوند. با این روش، اگر زمانی دیتابیس کاربران درز پیدا کند یا لو برود، کلمات عبور به صورت متنی در دسترس هکر نخواهند بود. بار بعد که شما کلمه عبورتان را وارد می‌کنید تا وارد حسابتان شوید، کلمه عبور دوباره به هَش تبدیل می‌شود و با مقدار هَش درون دیتابیس مقایسه می‌شود. اگر با آن یکی بود، شما به حسابتان دسترسی پیدا می‌کنید.

درز کردن داده‌ها معمول شده، و هکرها معمولا به دیتابیس‌های بزرگ از هش‌ها دسترسی دارند. برای تبدیل هش به متن کلمه عبور، تمام کاری که باید بکنند این است که کلمات عبور مختلف را (که خود می‌سازد یا از دیتابیسی دیگر می‌آورد) از الگوریتم عبور دهند و ببینند هَش ها برابر می‌شود یا نه. یک رایانه قدرتمند می‌تواند ملیونها ترکیب حروف را در ثانیه آزمایش کند. یک روش، حمله brute-force نام دارد که سعی می‌کند همه ترکیب‌های مختلف حروف را بسازد، مثلا با «۰۰۰۰۰۰۰»، «۰۰۰۰۰۰۱»، و… شروع می‌کند و ادامه می‌دهد. این پروسه آهسته است، اما احتمالا نه به آرامی که شما فکر می‌کنید. یک رایانه رومیزی که ۱۲ سال پیش ساخته شده، می‌تواند کلمات عبور پنج حرفی که فقط حروف کوچک و عدد دارند را در ۲۳ ساعت بشکند.

چطور یک کلمه عبور قوی بسازیم؟

یک کلمه عبور قوی، آن است که به سادگی به خاطر سپرده شود، اما شکستنش برای یک هکر باهوش با کمک یک رایانه قوی برای حدس زدن سخت باشد. کلمات عبور کوتاه که از کلمات ساده و ترکیبات آن استفاده می‌کنند به سادگی شکسته می‌شوند. اما یک رمز طولانی با استفاده از حروف تصادفی سخت به خاطر سپرده می‌شود و ممکن است شما را وسوسه کند که چندین بار از آن در حساب‌های مختلف استفاده کنید. (این کار را نکنید). بهترین راه حل برای بیشتر مردم استفاده از یک مدیر رمز عبور رمزنگاری شده و یک عبارت عبور طولانی به عنوان کلمه عبور اصلی آن است.

یک روش دیگر، حمله فرهنگ لغت نام دارد، که با استفاده از کلمات پر کاربرد، تعویض حروف (مثلا 3 به جای E)، اعداد و ترکیباتشان (مثلا یک نام حیوان خانگی به علاوه تاریخ شش حرفی) در زمان هکر صرفه‌جویی می‌کند. حملات فرهنگ لغتی می‌توانند برنامه‌نویسی شوند تا انواع ترکیبات زیادی را انتظار داشته باشند. بنابراین، حتی کلمه عبوری مانند «Pr0tonmai1#%$» نسبتا قابل پیش‌بینیست و می‌تواند توسط هکر در نظر گرفته شود.

پیشنهاد ما این است:

قدم اول: یک مدیر کلمه عبور قابل اطمینان و سر تا سر رمزنگاری شده دانلود و نصب کنید. این‌ها همه گزینه‌های خوبی هستند: Bitwarden, KeePass, LastPass,1Password

قدم دوم: از مدیر کلمه عبور خود استفاده کنید تا یک کلمه عبور تصادفی و یکتا برای هرکدام از حساب‌های کاربریتان بسازید. تنظیمات طول و ترکیب حروف پیش‌فرض کاملا مناسب هستند، اما اگر بخواهید می‌توانید آنها را طولانی‌تر کنید.

قدم سوم: برای مدیر کلمه عبور و هر کلمه عبور دیگری که باید به خاطر بسپارید، ما استفاده از یک عبارت عبور را پیشنهاد می‌کنیم.

می‌توانید راجع به عبارات عبور در مطالب قبلی بخوانید. معمولا، شما باید از چهار یا پنج کلمه تصادفی و کم کاربرد استفاده کنید. دانشمند کامپیوتر، مایک پاوند همچنین پیشنهاد می‌کند که کاراکترهای خاص نیز در میان کلمات اضافه کنید، بنابراین یک کلمه عبور مانند «colloquyemphy9semaspectermalevolent» می‌تواند یک کلمه عبور قوی باشد.

البته، مشکل تجویز کردن یک روش برای ساخت کلمه عبور آن است که هکرها حالا تلاش می‌کنند تا این ترکیب را هم به فرهنگ لغتشان اضافه کنند. ساخت یک کلمه عبور خوب نیاز به مقداری خلاقیت در خود شما دارد تا به روشی خوب با میزان آنتروپی خوب برسید.

با کلمه عبور امنی که ساختیم چکار کنیم؟

اول از همه، بین حساب‌های مختلف از آنها دوباره استفاده نکنید. اگر کلمه عبور شما به هر طریقی درز پیدا کند (شاید با یک حمله فیشینگ (نحوه جلوگیریمهندسی اجتماعی، کی‌لاگر و…) حمله کننده می‌تواند پس از آن از کلمه عبور شما استفاده کند تا وارد حساب‌های کاربری شما در سرویس‌های دیگر شود. این یک دلیل است تا حتما از ورود دو مرحله‌ای نیز استفاده کنید.

بسته به میزان امنیتی که می‌خواهید، ممکن است ایده خوبی باشد یا نباشد که کلمه عبورتان را روی کاغذ بنویسید. راه‌های هوشمندانه‌ای وجود دارند تا نوشته‌های شما را امن نگه دارند.

همچنین، کمی هم راجع به نرم‌افزارهای مدیریت کلمه عبور؛ هیچ سیستمی ۱۰۰٪ امن نیست، و قبلا در این برنامه‌ها نیز مشکلات امنیتی پیدا شده است. بسته به میزان امنیتی که نیاز دارید، یک مدیر کلمه عبور می‌تواند برای شما مناسب باشد یا نباشد. اما ما بر این باوریم که مزایای یک مدیر کلمه عبور، از ریسک آن برای اکثر کاربران بیشتر است. (می‌توانید راجع به یکپارچه سازی مدیر کلمه عبورتان با پروتن‌میل نیز اینجا بخوانید)

این مطلب بخشی از یک سری مطالب راجع به کلمه عبور بود، می‌توانید مطالب دیگر را اینجا بخوانید:

لینک مطلب اصلی:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *