.....
کلمه عبور

تا دیر نشده فکری به حال رمزهای خودتان بکنید

سال 2016 به پایان رسید و وارد سال 2017 شدیم، اما طبق آمارهایی که منتشر شده، نه تنها مردم درس عبرت نگرفتن :) و به انتخاب رمزهای غیرقابل پیش بینی روی نیاوردن، بلکه بیشتر رمزهای عبور ضعیف سال 2016، تفاوت چندانی با رمزهای عبور ضعیف سال 2015 نداره. به زبان ساده یه سری رمز ضایع در سال 2015 وجود داشتن که کلی کارشناسان امنیتی زدن تو سر و کله ی خودشون و گزارش و مقاله نوشتن و ابراز تعجب کردن و انگشت حیرت به دندان گزیدن و این جور چیزا، به این امید که رفتار مردم در سال 2016 تغییر کنه و این کارشناسان جشن بگیرن و دلستر لیمویی باز کنن، اما افسوس که اینچنین نشد و هنوز هم رمزهای اکستراضایعی مثل “123456” و “password” و “qwerty” جزو کلمات عبوری هستن که توسط مردم انتخاب میشه. حالا تازه اینا رمزهایی هست که مردم خودشون انتخاب می کنن، یه سری رمزهای پیشفرض هم هستن که اصلا کسی به خودش زحمت نمیده تغییرشون بده که اینجا به این مشکل اشاره کرده بودم…

الان شاید برای یه نفر سوال پیش بیاد که qwerty دیگه چیه؟ اگه به ردیف بالای کیبورد کامپیوترتون نگاهی از سر کنجکاوی بیافکنید، متوجه میشین که حروف کیبورد با q شروع میشه و w هم کنارشه و بعد هم e  و … این نوع کیبوردها به همین دلیل به کیبوردهای qwerty معروف هستن و بازم به همین دلیل خیلی ها از این عبارت به عنوان رمز استفاده می کنن و بازم به همین دلیل نباید این کار رو بکنن :)

اما چرا مردم از این کلمات عبور استفاده میکنن؟ جدا از تنبلی، ترس از فراموشی رمز عبور و همینطور مجددا تنبلی برای طی کردن مراحل “فراموشی رمز عبور”، از دلایل اصلی این کار هست. حالا ما که نمی تونیم با یه مطلب رفتار کسی رو تغییر بدیم، ولی حداقل می تونیم توضیح بدیم که یه رمز امن باید چه ویژگی های داشته باشه، تا اگه احیانا کسی متحول شد و تصمیم گرفت با تعیین کلمات عبور قوی، مشت محکمی به دهان مهتکرین :) بزنه، بدونه که باید چیکار کنه…

اول اینکه باید سعی کرد تا جای ممکن از اعداد و حروف بزرگ و حروف کوچیک همراه با علایم خاص در رمز استفاده کرد. چرا و چگونه؟ به این دلیل که یکی از راه های کشف رمز، شیوه ای هست که هکر توسط برنامه یا اسکریپتی سعی می کنه، رمز شما رو حدس بزنه. مثلا اگه رمز شما “123456” باشه، کافیه هکر اسکریپتی نوشته باشه که اعداد 1 تا 200000 رو به عنوان کلمه عبور بررسی کنه. برخلاف فیلم ها و سریال ها اصلا هم لازم نیست هکر بشینه پای کامپیوترش و بیخودی بکوبه روی دکمه های کیبورد، اسکریپت رو اجرا میکنه و میره پی کار و زندگیش. اسکریپتی که اجرا شده، سعی میکنه با رمز 1 وارد اونجایی که باید بشه، بشه، اگه نشد، یه دونه به عدد اضافه میکنه و سعی میکنه با رمز 2 وارد بشه، اگه نشد 3 و 4 و… تا بالاخره می رسه به 123456 و وقتی وارد شد، سوت و بوق می زنه و هکر بی وجدان میاد و نهایت سواستفاده رو می کنه. خب حالا اگه رمز شما 123 باشه، این پروسه خیلی زودتر به نتیجه میرسه و اگه 123456789 باشه، به خاطر طولانی تر بودن رمز، کمی بیشتر طول میکشه، ولی در نهایت پیدا کردن رمزی که فقط از اعداد توش استفاده شده، جزو راحت ترین رمزیابی هاست…

حالا اگه یه حرف لاتین به رمزتون اضافه کنین، هکر باید علاوه بر امتحان کردن تمامی اعداد، یکی از حروف لاتین رو هم همراه با این اعداد برای کشف رمز شما تست کنه و چون نمی دونه که شما این حرف لاتین رو اول رمز قرار دادین یا وسطش و یا آخرش، کشف رمز یه مقدار پیچیده تر میشه. حالا اگه از حروف کوچیک و بزرگ در کنار هم استفاده کنین، منبع= تکنامه. به اینکه بیشتر کلمات عبور بین حروف کوچیک و بزرگ تفاوت قایل میشن، هکر باید اعداد رو با حروف بزرگ و کوچیک، در جاهای مختلف امتحان کنه، تا بتونه رمز شما رو حدس بزنه. به عنوان تیر خلاص، اگه علایم خاص (مثل @$%) رو هم به رمز اضافه کنین، بازم دردسر هکر بیشتر میشه و همه ی اینا پروسه کشف رمز رو طولانی تر و سخت تر می کنه و برای همین هست که توصیه می کنن رمزتون تا جای ممکن طولانی (حداقل 8 کاراکتر) و شامل حروف بزرگ و کوچیک و اعداد و علایم خاص باشه…

یکی دیگه از راه های کشف رمز، استفاده از فرهنگ لغات یا دیکشنری هست. یعنی تمامی کلماتی که توی دیکشنری هست، به عنوان رمز عبور تست میشن، تا ببینن کدوم یکی شون با رمز عبوری که شما تعیین کردین یکسانه و بعدش هم دیگه مشخصه. البته این دیکشنری ها، لزوما دیکشنری های عمومی و تخصصی توی بازار نیستن و بعضی مواقع توسط هکرها و بر اساس رمزهایی که زیاد استفاده میشن یا کلماتی که احتمال استفاده از اونا به عنوان رمز زیاده، تولید میشن و با کمال میل و گاهی با دریافت پول در اختیار سایر علاقه مندان به فضولی و دزدی قرار می گیرن :) پس ما نتیجه می گیریم که کلمات قابل پیش بینی و موجود در دیکشنری هم گزینه ی مناسبی برای رمز عبور نیستن…

راه دیگه ای هم که وجود داره، حدس زدن بر اساس شناخت کاربر هست. مثلا چطور؟ همکار شما که تازه پدر/مادر شده، طبق سیاست های امنیتی محل کارش، باید هر 45 روز یکبار رمزش رو عوض کنه، مسئول آی تی هم چون مغزش توسط همکاران تیلیت شده، الزام استفاده از رمزهای پیچیده رو توی شبکه غیرفعال کرده، خب احتمال اینکه همکار محترم شما، اسم بچه اش رو به عنوان رمز عبور تعیین کنه چقدره؟ به امتحان کردنش می ارزه :) پس استفاده از اسامی افراد نزدیک و کلمات و عباراتی که دیگران میتونن حدس بزنن هم برای رمز عبور کار درستی نیست…

ارائه دهندگان سرویس های مختلف، سعی خودشون رو می کنن که در حفظ امنیت به شما کمک کنن. مثلا با محدود کردن دفعاتی که میشه رمز اشتباه وارد کرد یا با کدهای کپچا، همون اعداد و حروف کج و معوج که باید توی “کادر روبرو” تایپ شون کنیم:) فرضا اگه برنامه یا اسکریپت یا رباتی مشغول حدس زدن رمز باشه، بعد از چند حدس اشتباه ، عملیاتش متوقف میشه و باید جواب کپچا رو بده، و یا کلا همه چی قفل میشه و…

راه حل نهایی

حالا که دیدیم چه کارهایی نباید بکنیم، باید بگیم چه کاری بکنیم که هم رمزمون امن باشه و هم دچار مشکل فراموشی رمز عبور نشیم. البته راه های زیادی هست که می تونین ازش استفاده کنین و این مورد خیلی سلیقه ای هست و اصل موضوع همون طولانی بودن و استفاده از اعداد و حروف بزرگ و کوچیک و علایم خاص در کنار هم هست، اما یه راه ساده ای که برای سهولت استفاده از این روش هست، جمله سازیه. کافیه به جای حفظ کردن یه سری کاراکترهای عجیب و غریب یه جمله یا یه دیالوگ یا هرچی که دوس دارین رو انتخاب کنین و بعد یه کمی تغییرات روش اعمال کنین. مثلا فرض کنین جمله مورد علاقه ی شما “I am a blackboard” هست :) حالا باید چیکار کنیم؟ در مرحله ی اول کلاس زبان ثبت نام کنین :) و در ادامه به جمله تون خیره بشین و ببینین کجاشو میشه تغییر داد. مثلا a خیلی شبیه به @ هست، خب پس a ها رو تبدیل به @ می کنیم. l هم خیلی شبیه به 1 هست، پس l رو تبدیل به 1 می کنیم. دوتا b هم داریم که می تونیم اونا رو به صورت بزرگ (B) یا حتی عدد هشت لاتین بنویسیم، یا مثلا حروف اول هر کلمه رو به صورت بزرگ بنویسم و… اگه محیطی که براش رمز تعیین می کنین از فاصله پشیبانی می کنه که می تونین رمزتون رو با فاصله بین کاراکترها انتخاب کنین که طولش هم بیشتر میشه و بهتره، اگرم نه همون کاراکترها رو بهم بچسبونین. نتیجه مثلا میتونه اینطوری باشه :

[email protected]@[email protected]@rd

این رمز با اینکه به نسبت قوی و پیچیده است، اما بعد از چندبار استفاده، توی ذهن تون باقی می مونه، چون به جای فکر کردن به شکل عجیب و غریبش، به جمله ای که رمزتون رو از روش ساختین فکر می کنین. البته اینم بگم که استفاده از @ به جای a و 0 به جای o و… اینقدر شایع شده که بیشتر هکرها، این حالت ها رو بیشتر از حالت عادی بررسی می کنن :) ولی اصل موضوع که تنوع در انواع کاراکتر (حروف بزرگ و کوچیک و اعداد و علایم خاص) کشف رمز رو سخت تر می کنه، هنوزم سرجاش هست. اگه دنبال امنیت بیشتر هستین، سعی کنین یه رابطه ی خاص و عجیب و غریب تری برای خودتون تولید کنین…

بعضی از کاربران هم از کاراکترهای فارسی برای رمز عبورشون استفاده می کنن که امنیت به نسبت خوبی داره، اما هرجایی نمی شه ازش استفاده کرد و ممکنه مشکلاتی به وجود بیاره…

راه حل دیگه استفاده از برنامه های مدیریت رمز عبور (Password Manager) هست که توضیحش احتیاج به یه مطلب جداگانه داره…

تا جای ممکن، از یه رمز برای جاهای مختلف استفاده نکنین. این که مثلا رمز عبور حساب ایمیل تون با رمز عبور حساب اینترنتی بانک تون یکی باشه، از لحاظ امنیتی فاجعه است، چون اگه به هر دلیلی رمز ایمیل تون لو بره، جدا از آبروریزی :) ممکنه حساب بانکی تون به فنا بره :) یا مثلا رمز وای فای تون لو میره، بعد همون رمز ایمیل تونم هست، در عین حال رمز بانک تون هم هست. جوانان چرا؟ :)

در کنار تعیین رمز عبور قوی، استفاده از راهکارهای کمکی مثل ورود دومرحله ای  (2step verification) هم میتونه امنیت بیشتری رو به همراه داشته باشه.
انتخاب یه رمز قوی، هرچند لازمه، ولی کافی نیست و باید بقیه نکات امنیتی رو هم رعایت کرد. مثلا شما ممکنه یکی از امن ترین رمزهای عالم رو برای خودتون انتخاب کنین، ولی در محیطی ازش استفاده کنین که رمز رو به صورت متن ساده (plain text) ذخیره/ارسال می کنه، در این صورت رمز شما قوی هست، ولی ممکنه خیلی راحت در دسترس دیگران قرار بگیره. حتما قبول دارین که همین الانم این مطلب طولانی شده و دیگه راه نداره یه موضوع جدید هم بهش اضافه کنم :) ولی به طور خلاصه: رمزنگاری رمزعبور برای ذخیره/ارسال خیلی مهمه.
همیشه به روز مبادا فکر کنین و ایمیل، شماره تلفن، سوال امنیتی یا هر راه دیگه ای که برای بازیابی رمز فراموش شده در دسترس هست، با دقت تکمیل کنین.

 

 

تکنامه

avatar
تکنامه