ضعفهای رمزهای عبور و نحوهی اصلاح آن
رمز عبورها کلید ورود به انواع و اقسام اکانتهای آنلاین محسوب میشوند؛ از شبکههای اجتماعی گرفته تا ایمیلها. اما چگونه میتوان از میزان قدرت این رمز عبورها اطمینان حاصل کرد؟ اگر به دنبال استفاده از رمز عبورهای قدرتمند هستید، خواندن این مطلب را توصیه میکنیم.
شاید با توصیههای معمول مربوط به این موضوع آشنایی داشته باشید، که معمولا در هنگام ایجاد اکانتهای جدید ظاهر میشوند. از بین آنها میتوانیم به بلند بودن و پیچیدگی رمز عبور اشاره کنیم. اما چیزی که شاید ندانید این است که چرا این قواعد منجر به افزایش قدرت رمز عبور میشوند و چرا حتی بهترین رمز عبورها هم میتوانند مشکلاتی را برای کاربران به وجود بیاورند.
اصول شکستن رمز عبور
راههای زیادی برای شکستن رمز عبورها وجود دارد. «بروس مارشال» (Bruce Marshall)، یکی از متخصصین امنیتی، در همین زمینه میگوید که یکی از محبوبترین روشهای دستیابی به رمز عبور، استفاده از تکنیک فیشینگ است. در این تکنیک، قربانی رمز عبور خود را در سایتی مشابه سایت اصلی وارد میکند و با این کار، هکر به رمز عبور قربانی دسترسی پیدا میکند. یک روش محبوب دیگر، «حملهی جستجوی فراگیر» (brute-force attack) است؛ در این روش، هکر با استفاده از ابزارهای به خصوصی، ترکیبهای مختلف رمز عبور را مورد آزمایش قرار میدهد تا درنهایت ترکیب درست را شناسایی کند (که البته بسیاری از اپلیکیشنها و سایتها اجازهی اجرای این نوع حمله را نمیدهند).
علاوه بر این، نباید بدافزارها را هم فراموش کنیم که در صورت نفوذ گسترده به سیستم، میتوانند موارد تایپشدهی کاربر را زیر نظر بگیرند و از این طریق به رمز عبورهای کاربر موردنظر دست پیدا کنند. بهغیراز این مورد، هر از چند گاهی خبر نفوذ به پایگاه دادهی شرکتها منتشر میشود که بعد از چنین نفوذهایی، اطلاعات شخصی کاربران آن سرویس در معرض خطر قرار میگیرند.
با توجه به موارد ذکرشده، «مارشال» توصیه میکند که کامپیوتر خود را ایمن نگه دارید، کسبوکارهای آنلاین خود را با سرویسهایی انجام دهید که از امنیت بالایی بهره میبرند و از رمز عبورهایی استفاده کنید که بهسادگی قبل حدس زدن یا شکسته شدن نباشند. «مارشال» در زمینهی اولویت استفاده از رمز عبورهای طولانیتر میگوید که هرچه طول رمز عبور بیشتر باشد، شکستن آن دشوارتر میشود، زیرا برای دستیابی به آن باید ترکیبهای بسیار بیشتری مورد بررسی قرار بگیرد.
برای رمز عبور، از نام و تاریخ تولد خود استفاده نکنید و اگر از جمله افرادی هستید که در اینستاگرام انواع و اقسام عکسهای حیوان خانگی خود را به اشتراک میگذارید، از استفاده از نام حیوان خانگی خود هم صرفنظر کنید. طول رمز عبور حائز اهمیت است (حداقل از ۱۴ کاراکتر استفاده کنید) اما مهمتر از طول رمز عبور، حدس ناپذیر بودن آن است.
«جفری گلدبرگ» (Jeffrey Goldberg)، متخصص در زمینهی رمز عبور، در این باره میگوید: «مهاجمان بهصورت کورکورانه عمل نمیکنند، بلکه آنها ابتدا ترکیبهای محتمل را موردبررسی قرار میدهند. این مهاجمان شناخت خوبی از انواع و اقسام رمز عبورهای پرطرفدار دارند.»
به عبارتی دیگر، هکرهای رمز عبور میدانند که سرویسها از کاربران خود میخواهند برای رمز عبور خود از حروف کوچک و بزرگ و علائم و نشانهها استفاده کنند و همچنین آنها از ترکیبهای معمولا چنین رمز عبورهایی هم خبر دارند. بهعنوان مثال شاید یک کاربر برای رمز عبور خود بهجای استفاده از عبارت password از Passw0rd استفاده کند و پیش خود فکر کند که بسیار هوشمندانه عمل کرده است؛ درصورتیکه چنین کاری چندان نوآورانه نیست و بسیاری از کاربران چنین الگویی را در پیش میگیرند.
بر اساس تحقیقات چند شرکت امنیتی میتوان گفت که با توجه به پیشبینی پذیر بودن رفتار انسانها، چندان نمیتوان روی ثمربخش بودن رمز عبورها حساب کرد. البته این حرف به معنی این نیست که راههایی برای افزایش قدرت رمز عبور وجود ندارد؛ زیرا همچنان باید بگوییم که رمز عبورهای طولانی، پیچیده و خاص همچنان بهترین رمز عبورها محسوب میشوند. در همین زمینه ابزارهای آنلاینی جالب توجهی وجود دارد که با استفاده از آنها میتوانید از میزان قدرت رمز عبور خود خبردار شوید. اما موضوعی که باید آن را بپذیریم این است که حتی بهترین رمز عبورها هم بهتنهایی کافی نیستند و این نکتهای است که بیشتر متخصصین امنیتی بر سر آن توافق دارند.
مشکل رمز عبورها
مشکل قدرتمندترین رمز عبورها این است که معمولا بسیار طولانی هستند و به خاطر سپردن آنها کاری سخت محسوب میشود. چنین موضوعی باعث میشود که شکستن این رمز عبورها به کاری سخت بدل شود ولی از آن طرف کاربران معمولا چنین رمز عبورهایی را بر تکهای کاغذ مینویسند (که در معرض دید عموم قرار میگیرد) یا اینکه برای اکانتهای مختلف از این رمز عبور استفاده میکنند (که با نفوذ به یکی از این اکانتها، باقی اکانتهای آنلاین هم از دست میروند).
«استیو شولت» (Steve Schult)، مدیر محصول یکی از شرکتهای امنیتی، در ارتباط با این موضوع میگوید: «به خاطر سپردن تعداد زیادی رمز عبور طولانی و پیچیده کار سادهای نیست و درنهایت کاربران برای سادهتر کردن کار خود به استفاده از رمز عبورهای تکراری، استفاده از ترکیبهای یکسان یا قرار دادن اطلاعات قابل شناسایی در رمز عبور خود روی میآورند.»
تغییر مرتب رمز عبورها شاید از لحاظ تئوری ایدهی خوبی باشد، اما در عمل مشکلات زیادی را به وجود میآورد. یکی از این مشکلات، افزایش تعداد رمز عبورها است و چنین روندی معمولا منجر به استفاده از رمز عبورهای ضعیفتر میشود. طبق پژوهشهای انجام شده، حتی نحوهی تغییر رمز عبور بسیاری از کاربران هم قابل پیشبینی است.
بسیاری از متخصصین امنیتی اعتقاد دارند که بهترین راه برای افزایش امنیت رمز عبور، استفاده از «رمز عبورهای ترکیبی» (passphrase) است. این رمز عبورها، از حروف تصادفی تشکیل شدهاند که در این عبارتها جایگیری حروف بزرگ و نشانهها از الگوی خاصی پیروی نمیکنند. اما مساله این است که این رمز عبورهای ترکیبی زمانی مثمر ثمر خواهند بود که برای اکانتهای مختلف از رمز عبور ترکیبی یکسانی استفاده نشود.
«گلدبرگ» در رابطه با اهمیت استفاده از رمز عبورهای غیرتکراری میگوید: «هر رمز عبوری که در چندین سایت و سرویس استفاده شود، هرچقدر هم قدرتمند باشد، رمز عبور ضعیفی محسوب میشود.» او در ادامه میگوید: «فرض کنید برای اکانت ایمیل خود از رمز عبور پیچیدهای استفاده میکنید ولی برای اکانت یک سایت نهچندان ایمن هم از همان رمز عبور بهره میبرید. به همین خاطر اگر مثلا رمز عبور این سایت نهچندان ایمن را در اینترنت عمومی کافیشاپ وارد کنید، رمز عبور شما در دسترس هکرها قرار میگیرد یا شاید هم هکرها با نفوذ به سایت مذکور بتوانند به رمز عبور شما دسترسی پیدا کنند.»
«تروی هانت» (Tory Hunt)، نویسنده در زمینهی مسائل امنیت سایبری، توضیح میدهد: «رمز عبورهای ترکیبی زمانی واقعا مثمر ثمر هستند که از حروف کاملا تصادفی تشکیل شده باشند، حتی اگر در ترکیب آنها از حروف کوچک و بزرگ و نشانهها و اعداد استفاده نکنید. اما حالا این پیچیدگی به تنهایی کافی نیست و برای افزایش امنیت اکانتهای مختلف باید از رمز عبورهای ترکیبی منحصربهفردی استفاده کنیم. به دلیل تعدد این اکانتها، باید از رمز عبورهای متعددی استفاده کنیم که البته مغز ما توان حفظ این همه رمز عبور پیچیده را ندارد.»
ورای رمز عبور
بیشتر متخصصین امنیتی برای حل مشکل تعدد رمز عبورها، استفاده از ابزارهای مدیریت رمز عبور را پیشنهاد میدهند. البته علاوه بر استفاده از چنین ابزارهایی، استفاده از قابلیت تشخیص هویت دومرحلهای هم توصیه میشود. با فعال کردن این روش، کاربر برای ورود به اکانت خود، به غیر از واردکردن رمز عبور، باید یک مرحلهی امنیتی دیگر را پشت سر بگذارد؛ این مرحلهی امنیتی معمولا شامل دریافت کد از طریق پیامک به گوشی و وارد کردن آن در سایت یا اپلیکیشن موردنظر است.
از دیگر مزیتهای ابزارهای مدیریت رمز عبور باید به امکان ایجاد رمز عبورهای قدرتمند هم اشاره کنیم. برای استفاده از این ابزارها، کاربر تنها به یک رمز عبور اصلی نیاز دارد و با ورود به ابزار موردنظر، میتواند به رمز عبورهای انواع و اقسام اکانتها دسترسی داشته باشد. البته فراموش نکنید که رمز عبور اصلی این ابزارها اهمیت بسیار زیادی دارند و به همین خاطر برای انتخاب آن از تمام نکات امنیتی ذکر شده پیروی کنید.
«هانت» میگوید: «استفاده از ابزارهای مدیریت رمز عبور، تنها راه برای استفاده از انواع و اقسام رمز عبورهای پیچیده و منحصربهفرد است. با استفاده از این ابزارها، میتوانید رمز عبورهای پیچیدهی ۴۰ حرفی ایجاد کنید و دیگر نگران قدرت و منحصربهفرد بودن آنها نباشید.»
همانطور که هکرها برای شکستن رمز عبورها از الگوریتمهای پیشرفته استفاده میکنند، پس بهتر است که کاربران با استفاده از همان تکنیکها دست به ایجاد رمز عبورهای پیچیده بزنند. البته این به معنای فراموشی و کنار گذاشتن دیگر اقدامات امنیتی نیست، اما استفاده از این ابزارها، کار کاربران را تا حد زیادی راحتتر میکند و امنیت اکانتهای آنها را افزایش میدهد.
«مارشال» در همین رابطه میافزاید: «امنترین شیوه برای ایجاد رمز عبورهای ایمن این است که توسط خود کاربر ایجاد نشوند. به جای این کار، بهتر است که برای ایجاد رمز عبورها از ابزارهای مدیریت رمز عبور بهره ببریم؛ زیرا بیشتر کاربران نمیتوانند تفاوت یک رمز عبور ایمن و ضعیف را تشخیص بدهند و به همین خاطر برای انتخاب این موارد توصیه میشود که تنها بر نظر خود تکیه نکنند.»
در زمینهی بهترین ابزارهای مدیریت رمز عبور، میتوانیم به 1Password، Dashlane، Keeper، LastPass و ابزار متنباز و رایگان KeePass اشاره کنیم. برای استفاده از این ابزارها، باید حق اشتراک ماهیانه پرداخت کنید (به غیر از KeePass) و چنین سرویسهایی معمولا به راحتی در پلتفرمهای مختلف قابل استفاده هستند.
در نهایت، طبق گفتههای متخصصین این رشته، اکثر کاربران به تنهایی از پس ایجاد رمز عبورهای ایمن برنمیآیند و برای این کار باید از ابزارهای کمکی استفاده کنند. «گلدبرگ» در همین زمینه میگوید: «یک رمز عبور قوی باید بهصورت تصادفی ایجاد شود و انسانها عملکرد خوبی در زمینهی تصادفی بودن ندارند.»
منبع: Gizmodo