ضعف‌های رمزهای عبور و نحوه‌ی اصلاح آن

رمز عبورها کلید ورود به انواع و اقسام اکانت‌های آنلاین محسوب می‌شوند؛ از شبکه‌های اجتماعی گرفته تا ایمیل‌ها. اما چگونه می‌توان از میزان قدرت این رمز عبورها اطمینان حاصل کرد؟ اگر به دنبال استفاده از رمز عبورهای قدرتمند هستید، خواندن این مطلب را توصیه می‌کنیم.

شاید با توصیه‌های معمول مربوط به این موضوع آشنایی داشته باشید، که معمولا در هنگام ایجاد اکانت‌های جدید ظاهر می‌شوند. از بین آن‌ها می‌توانیم به بلند بودن و پیچیدگی رمز عبور اشاره کنیم. اما چیزی که شاید ندانید این است که چرا این قواعد منجر به افزایش قدرت رمز عبور می‌شوند و چرا حتی بهترین رمز عبورها هم می‌توانند مشکلاتی را برای کاربران به وجود بیاورند.

اصول شکستن رمز عبور

راه‌های زیادی برای شکستن رمز عبورها وجود دارد. «بروس مارشال» (Bruce Marshall)، یکی از متخصصین امنیتی، در همین زمینه می‌گوید که یکی از محبوب‌ترین روش‌های دستیابی به رمز عبور، استفاده از تکنیک فیشینگ است. در این تکنیک، قربانی رمز عبور خود را در سایتی مشابه سایت اصلی وارد می‌کند و با این کار، هکر به رمز عبور قربانی دسترسی پیدا می‌کند. یک روش محبوب دیگر، «حمله‌ی جستجوی فراگیر» (brute-force attack) است؛ در این روش، هکر با استفاده از ابزارهای به خصوصی، ترکیب‌های مختلف رمز عبور را مورد آزمایش قرار می‌دهد تا درنهایت ترکیب درست را شناسایی کند (که البته بسیاری از اپلیکیشن‌ها و سایت‌ها اجازه‌ی اجرای این نوع حمله را نمی‌دهند).

علاوه بر این، نباید بدافزارها را هم فراموش کنیم که در صورت نفوذ گسترده به سیستم، می‌توانند موارد تایپ‌شده‌ی کاربر را زیر نظر بگیرند و از این طریق به رمز عبورهای کاربر موردنظر دست پیدا کنند. به‌غیراز این مورد، هر از چند گاهی خبر نفوذ به پایگاه داده‌ی شرکت‌ها منتشر می‌شود که بعد از چنین نفوذهایی، اطلاعات شخصی کاربران آن سرویس در معرض خطر قرار می‌گیرند.

با توجه به موارد ذکرشده، «مارشال» توصیه می‌کند که کامپیوتر خود را ایمن نگه دارید، کسب‌وکارهای آنلاین خود را با سرویس‌هایی انجام دهید که از امنیت بالایی بهره می‌برند و از رمز عبورهایی استفاده کنید که به‌سادگی قبل حدس زدن یا شکسته شدن نباشند. «مارشال» در زمینه‌ی اولویت استفاده از رمز عبورهای طولانی‌تر می‌گوید که هرچه طول رمز عبور بیشتر باشد، شکستن آن دشوارتر می‌شود، زیرا برای دستیابی به آن باید ترکیب‌های بسیار بیشتری مورد بررسی قرار بگیرد.

برای رمز عبور، از نام و تاریخ تولد خود استفاده نکنید و اگر از جمله افرادی هستید که در اینستاگرام انواع و اقسام عکس‌های حیوان خانگی خود را به اشتراک می‌گذارید، از استفاده از نام حیوان خانگی خود هم صرف‌نظر کنید. طول رمز عبور حائز اهمیت است (حداقل از ۱۴ کاراکتر استفاده کنید) اما مهم‌تر از طول رمز عبور، حدس ناپذیر بودن آن است.

«جفری گلدبرگ» (Jeffrey Goldberg)، متخصص در زمینه‌ی رمز عبور، در این باره می‌گوید: «مهاجمان به‌صورت کورکورانه عمل نمی‌کنند، بلکه آن‌ها ابتدا ترکیب‌های محتمل را موردبررسی قرار می‌دهند. این مهاجمان شناخت خوبی از انواع و اقسام رمز عبورهای پرطرفدار دارند.»

به عبارتی دیگر، هکرهای رمز عبور می‌دانند که سرویس‌ها از کاربران خود می‌خواهند برای رمز عبور خود از حروف کوچک و بزرگ و علائم و نشانه‌ها استفاده کنند و همچنین آن‌ها از ترکیب‌های معمولا چنین رمز عبورهایی هم خبر دارند. به‌عنوان مثال شاید یک کاربر برای رمز عبور خود به‌جای استفاده از عبارت password از Passw0rd استفاده کند و پیش خود فکر کند که بسیار هوشمندانه عمل کرده است؛ درصورتی‌که چنین کاری چندان نوآورانه نیست و بسیاری از کاربران چنین الگویی را در پیش می‌گیرند.

بر اساس تحقیقات چند شرکت امنیتی می‌توان گفت که با توجه به پیش‌بینی پذیر بودن رفتار انسان‌ها، چندان نمی‌توان روی ثمربخش بودن رمز عبورها حساب کرد. البته این حرف به معنی این نیست که راه‌هایی برای افزایش قدرت رمز عبور وجود ندارد؛ زیرا همچنان باید بگوییم که رمز عبورهای طولانی، پیچیده و خاص همچنان بهترین رمز عبورها محسوب می‌شوند. در همین زمینه ابزارهای آنلاینی جالب توجهی وجود دارد که با استفاده از آن‌ها می‌توانید از میزان قدرت رمز عبور خود خبردار شوید. اما موضوعی که باید آن را بپذیریم این است که حتی بهترین رمز عبورها هم به‌تنهایی کافی نیستند و این نکته‌ای است که بیشتر متخصصین امنیتی بر سر آن توافق دارند.

مشکل رمز عبورها

مشکل قدرتمندترین رمز عبورها این است که معمولا بسیار طولانی هستند و به خاطر سپردن آن‌ها کاری سخت محسوب می‌شود. چنین موضوعی باعث می‌شود که شکستن این رمز عبورها به کاری سخت بدل شود ولی از آن طرف کاربران معمولا چنین رمز عبورهایی را بر تکه‌ای کاغذ می‌نویسند (که در معرض دید عموم قرار می‌گیرد) یا اینکه برای اکانت‌های مختلف از این رمز عبور استفاده می‌کنند (که با نفوذ به یکی از این اکانت‌ها، باقی اکانت‌های آنلاین هم از دست می‌روند).

«استیو شولت» (Steve Schult)، مدیر محصول یکی از شرکت‌های امنیتی، در ارتباط با این موضوع می‌گوید: «به خاطر سپردن تعداد زیادی رمز عبور طولانی و پیچیده کار ساده‌ای نیست و درنهایت کاربران برای ساده‌تر کردن کار خود به استفاده از رمز عبورهای تکراری، استفاده از ترکیب‌های یکسان یا قرار دادن اطلاعات قابل شناسایی در رمز عبور خود روی می‌آورند.»

تغییر مرتب رمز عبورها شاید از لحاظ تئوری ایده‌ی خوبی باشد، اما در عمل مشکلات زیادی را به وجود می‌آورد. یکی از این مشکلات، افزایش تعداد رمز عبورها است و چنین روندی معمولا منجر به استفاده از رمز عبورهای ضعیف‌تر می‌شود. طبق پژوهش‌های انجام شده، حتی نحوه‌ی تغییر رمز عبور بسیاری از کاربران هم قابل پیش‌بینی است.

بسیاری از متخصصین امنیتی اعتقاد دارند که بهترین راه برای افزایش امنیت رمز عبور، استفاده از «رمز عبورهای ترکیبی» (passphrase) است. این رمز عبورها، از حروف تصادفی تشکیل شده‌اند که در این عبارت‌ها جای‌گیری حروف بزرگ و نشانه‌ها از الگوی خاصی پیروی نمی‌کنند. اما مساله این است که این رمز عبورهای ترکیبی زمانی مثمر ثمر خواهند بود که برای اکانت‌های مختلف از رمز عبور ترکیبی یکسانی استفاده نشود.

«گلدبرگ» در رابطه با اهمیت استفاده از رمز عبورهای غیرتکراری می‌گوید: «هر رمز عبوری که در چندین سایت و سرویس استفاده شود، هرچقدر هم قدرتمند باشد، رمز عبور ضعیفی محسوب می‌شود.» او در ادامه می‌گوید: «فرض کنید برای اکانت ایمیل خود از رمز عبور پیچیده‌ای استفاده می‌کنید ولی برای اکانت یک سایت نه‌چندان ایمن هم از همان رمز عبور بهره می‌برید. به همین خاطر اگر مثلا رمز عبور این سایت نه‌چندان ایمن را در اینترنت عمومی کافی‌شاپ وارد کنید، رمز عبور شما در دسترس هکرها قرار می‌گیرد یا شاید هم هکرها با نفوذ به سایت مذکور بتوانند به رمز عبور شما دسترسی پیدا کنند.»

«تروی هانت» (Tory Hunt)، نویسنده در زمینه‌ی مسائل امنیت سایبری، توضیح می‌دهد: «رمز عبورهای ترکیبی زمانی واقعا مثمر ثمر هستند که از حروف کاملا تصادفی تشکیل شده باشند، حتی اگر در ترکیب آن‌ها از حروف کوچک و بزرگ و نشانه‌ها و اعداد استفاده نکنید. اما حالا این پیچیدگی به تنهایی کافی نیست و برای افزایش امنیت اکانت‌های مختلف باید از رمز عبورهای ترکیبی منحصربه‌فردی استفاده کنیم. به دلیل تعدد این اکانت‌ها، باید از رمز عبورهای متعددی استفاده کنیم که البته مغز ما توان حفظ این همه رمز عبور پیچیده را ندارد.»

ورای رمز عبور

بیشتر متخصصین امنیتی برای حل مشکل تعدد رمز عبورها، استفاده از ابزارهای مدیریت رمز عبور را پیشنهاد می‌دهند. البته علاوه بر استفاده از چنین ابزارهایی، استفاده از قابلیت تشخیص هویت دومرحله‌ای هم توصیه می‌شود. با فعال کردن این روش، کاربر برای ورود به اکانت خود، به غیر از واردکردن رمز عبور، باید یک مرحله‌ی امنیتی دیگر را پشت سر بگذارد؛ این مرحله‌ی امنیتی معمولا شامل دریافت کد از طریق پیامک به گوشی و وارد کردن آن در سایت یا اپلیکیشن موردنظر است.

از دیگر مزیت‌های ابزارهای مدیریت رمز عبور باید به امکان ایجاد رمز عبورهای قدرتمند هم اشاره کنیم. برای استفاده از این ابزارها، کاربر تنها به یک رمز عبور اصلی نیاز دارد و با ورود به ابزار موردنظر، می‌تواند به رمز عبورهای انواع و اقسام اکانت‌ها دسترسی داشته باشد. البته فراموش نکنید که رمز عبور اصلی این ابزارها اهمیت بسیار زیادی دارند و به همین خاطر برای انتخاب آن از تمام نکات امنیتی ذکر شده پیروی کنید.

«هانت» می‌گوید: «استفاده از ابزارهای مدیریت رمز عبور، تنها راه برای استفاده از انواع و اقسام رمز عبورهای پیچیده و منحصربه‌فرد است. با استفاده از این ابزارها، می‌توانید رمز عبورهای پیچیده‌ی ۴۰ حرفی ایجاد کنید و دیگر نگران قدرت و منحصربه‌فرد بودن آن‌ها نباشید.»

همانطور که هکرها برای شکستن رمز عبورها از الگوریتم‌های پیشرفته استفاده می‌کنند، پس بهتر است که کاربران با استفاده از همان تکنیک‌ها دست به ایجاد رمز عبورهای پیچیده بزنند. البته این به معنای فراموشی و کنار گذاشتن دیگر اقدامات امنیتی نیست، اما استفاده از این ابزارها، کار کاربران را تا حد زیادی راحت‌تر می‌کند و امنیت اکانت‌های آن‌ها را افزایش می‌دهد.

«مارشال» در همین رابطه می‌افزاید: «امن‌ترین شیوه برای ایجاد رمز عبورهای ایمن این است که توسط خود کاربر ایجاد نشوند. به جای این کار، بهتر است که برای ایجاد رمز عبورها از ابزارهای مدیریت رمز عبور بهره ببریم؛ زیرا بیشتر کاربران نمی‌توانند تفاوت یک رمز عبور ایمن و ضعیف را تشخیص بدهند و به همین خاطر برای انتخاب این موارد توصیه می‌شود که تنها بر نظر خود تکیه نکنند.»

در زمینه‌ی بهترین ابزارهای مدیریت رمز عبور، می‌توانیم به ۱Password، Dashlane، Keeper، LastPass و ابزار متن‌باز و رایگان KeePass اشاره کنیم. برای استفاده از این ابزارها، باید حق اشتراک ماهیانه پرداخت کنید (به غیر از KeePass) و چنین سرویس‌هایی معمولا به راحتی در پلتفرم‌های مختلف قابل استفاده هستند.

در نهایت، طبق گفته‌های متخصصین این رشته، اکثر کاربران به تنهایی از پس ایجاد رمز عبورهای ایمن برنمی‌آیند و برای این کار باید از ابزارهای کمکی استفاده کنند. «گلدبرگ» در همین زمینه می‌گوید: «یک رمز عبور قوی باید به‌صورت تصادفی ایجاد شود و انسان‌ها عملکرد خوبی در زمینه‌ی تصادفی بودن ندارند.»

منبع: Gizmodo