چگونه یک رمز عبور قدرتمند بسازیم؟

موبنا – در اغلب موارد، هکرها با هک نمودن رمز عبور کاربر (Password)، اقدام به ارتکاب اینگونه جرایم می‌کنند. بنابراین در این مقاله قصد داریم تا شما را با مفهوم رمز عبور قدرتمند و روش ایجاد آن آشنا نماییم. شما با مطالعه مطلب پیش رو قادر خواهید بود تا به راحتی یک رمز عبور قدرتمند ایجاد نمایید به طوری که به یاد سپردن آن برای شما آسان و در عین حال حدس زدن آن برای دیگران (اعم از شخص حقیقی و یا یک ربات) کاری بسیار مشکل باشد. پس در ادامه با ما در دیجی رو همراه باشید.

چگونه یک رمز عبور قدرتمند ایجاد نماییم؟

طول، طول، طول

اگر حوصله کافی برای خواندن کل این مقاله را ندارید، ما به طور خلاصه می‌توانیم به شما دو توصیه بسیار مهم داشته باشیم:

۱- هر چقدر طول رمز عبور بیشتر باشد، بهتر است.

۲- از استفاده از رمزهای عبور شناخته شده به شدت اجتناب کنید.

در ادامه وارد جزئیات بیشتر خواهیم شد، اما در همین بخش این نکته را گوشزد می‌کنیم که یکی از مرسوم‌ترین روش‌های شکستن رمز عبور، با عنوان حمله جستجوی فراگیر (brute force attack) شناخته می‌شود که در این روش، هکر با امتحان کردن لیستی از پسوردهای شناخته شده و مشهور و یا ترکیبی از آن‌ها، به راحتی می‌تواند موفق به شکستن رمزهای عبور ساده شود. بنابراین هر چه قدر طول کلمه عبور بیشتر باشد به همان نسبت زمان بیشتری نیز برای حدس زدن آن نیاز خواهد بود.

مثال‌های زیر را در نظر بگیرید. با استفاده از ابزار ZXCVBN password strength estimator زمان تقریبی مورد نیاز برای عبور از هر یک از رمزهای زیر را که دارای طول‌های متفاوتی هستند، تخمین زده‌ایم:

• ۹agcZ : حدود ۱۶ دقیقه
• ۹agcZE : حدود ۵ ساعت (تقریباً ۱۸ برابر قبلی)
• ۹agcZEM : حدود ۳ روز (تقریباً ۱۴ برابر قبلی)
• ۹agcZEM7 : حدود ۴ ماه (تقریباً ۴۰ برابر قبلی)
• ۹agcZEM7H : حدود ۲۶ سال (تقریباً ۷۸ برابر قبلی)
• ۹agcZEM7Hq : چندین قرن!

همانطور که مشاهده می‌کنید، اضافه کردن تنها یک کاراکتر باعث می‌شود تا زمان مورد نیاز برای شکستن کلمه عبور، چندین برابر شود. هکرها معمولاً نمی‌توانند هزینه و زمان زیادی بر روی کلمات عبور قدرتمند صرف نمایند و بنابراین همواره به سراغ موارد راحت‌تر و ساده‌تر می‌روند.

البته به خاطر سپردن رمز عبوری مشابه آنچه که در بالا ذکر کرده‌ایم، اصلاً کار ساده‌ای نیست. بنابراین باید به دنبال راهکار بهتری باشیم …

رمز عبوری بسازید که به سادگی به خاطر سپرده شود و به سختی حدس زده شود

به صورت عملی، راحت‌ترین راه برای ساخت یک کلمه عبور (و یا عبارت عبور) طولانی که حدس زدن آن مشکل و در عین حال به خاطر سپردن آن ساده باشد، این است که عبارتی را انتخاب نمایید که برای شما با معنی بوده ولی برای دیگران معنی خاصی نداشته باشد. به عنوان مثال به عبارت زیر توجه کنید:

“من در روز ۱۱ فوریه ۲۰۱۱، در کنار دریاچه به همراه سگ خودم به نام جیمی در حال قدم زدن بودم”

با اینکه این جمله، به ظاهر هیچ نکته خاصی ندارد اما به خاطر سپردن چنین عبارات شخصی برای خود فرد، کار راحتی خواهد بود، زیرا یک پیش‌زمینه ذهنی نسبت به آن دارد. حال یک ماشین و یا ربات کار بسیار دشواری پیش رو خواهد داشت، اگر بخواهد با امتحان کردن ترکیبات مختلف کلمات، این جمله را حدس بزند.

با تکنولوژی کنونی در زمینه رایانه‌ها، چندین قرن زمان لازم خواهد بود تا چنین عبارتی حدس زده شود. (این نکته را نیز به خاطر داشته باشید که استفاده از کاراکتر فاصله، کاما، اعداد و کاراکترهای ویژه، در قدرتمندتر شدن کلمه عبور تاثیر به سزایی دارند).

در ضمن توجه داشته باشد که به هیچ عنوان نباید سراغ عبارات و نقل‌قول‌های شناخته شده بروید. زیرا هکرها به راحتی این جملات مشهور را نیز به پایگاه داده خود اضافه کرده و از آن برای حدس زدن کلمه عبور استفاده می‌کنند. مثلاً عبارت “بودن یا نبودن، مسئله این است” اصلا عبارت مناسبی برای استفاده به عنوان رمز عبور نیست، زیرا این جمله مشهور را علاوه بر شما، هکرها نیز بارها شنیده‌اند!

رمز عبوری که به سادگی حدس زده شود و به سختی به خاطر سپرده شود نسازید

تصور نادرستی که در بین بیشتر افراد وجود دارد این است که اگر کلمه‌ای یا عبارتی را به سختی می‌توانند به خاطر بسپارند، در این صورت سایر افراد هم نمی‌توانند به راحتی آن را حدس بزنند. باید بگوییم که این قضیه لزوماً همیشه درست نیست، بویژه اگر طرف حساب شما یک کامپیوتر باشد که به راحتی می‌تواند ترفندهای ساده‌ای را که انسان‌ها استفاده می‌کنند حدس بزند. مانند جایگزین کردن حرف L با ۱ و یا حرف o با ۰. پس استفاده از کلمه عبوری مانند P4ssw0rd اصلاً آنگونه که ظاهر امر نشان می‌دهد، ایمن نیست. تصویر زیر به خوبی این مفهوم را بیان می‌کند.

مدیریت صدها رمز عبور اصلاً کار سختی نیست؛ اگر از ابزار مناسبی استفاده کنید.

باید به این نکته نیز اعتراف کنیم که به خاطر سپردن صدها و شاید هزارها رمز عبور قدرتمند برای حساب‌های مختلفی که هر کاربر ممکن است داشته باشد، امری غیرممکن می‌باشد. راه حلی که برای این مشکل می‌توان معرفی کرد این است که ابتدا باید یک رمز عبور بسیار قدرتمند و ایمن ایجاد کنیم و سپس با استفاده از آن به یک برنامه مدیریت پسورد مانند Lastpass و یا ۱Password وارد شده و تمامی رمزهای عبور خود را مدیریت نماییم.

همچنین می‌توان با استفاده از احراز هویت دو فاکتوره (۲-factor authentication)، امنیت این برنامه‌ها را افزایش داد. حتی کاربر این نوع برنامه‌ها، می‌تواند برخی تنظیمات داخل برنامه را طوری تعیین نماید تا در صورت مرگ یا ناتوانی وی، شخص دیگری که او معرفی می‌نماید، بتواند به اطلاعات رمزهای عبور وی دسترسی یابد.

با استفاده از برنامه‌های مدیریت رمز عبور، می توان کلمات عبور تصادفی مانند ۹agcZEM7HqLcXX29ldQI نیز ایجاد نمود، که تاحدودی می‌توانند ایمن باشند اما در عین حال به خاطر سپردن آن‌ها نیز بسیار سخت خواهد بود.

در صورت استفاده از برنامه‌های مدیریت رمز عبور، با توجه به اینکه یک رمز عبور اصلی بسیار قدرتمند برای ورود به برنامه انتخاب می‌کنید، دیگر نیازی نیست تا رمزهای عبور متعددی را به خاطر بسپارید. اگر هم به هر دلیلی رمز عبور اصلی خود را فراموش نمودید با طی یک روند عادی (معمولاً استفاده از ایمیل) می‌توانید رمز عبور خود را نوسازی نمایید.

برنامه‌های مدیریت رمز عبور یکی از مولفه‌های بسیار مهم در حفظ امنیت کاربر در فضای مجازی می‌باشند. این برنامه‌ها علاوه بر مهیا نمودن امکان ساخت رمزهای عبور منحصر به فرد و قدرتمند، توانایی ایمن نمودن این رمزها را با استفاده از یک رمز عبور اصلی و همچنین استفاده از رمزگذاری قوی و احراز هویت دو فاکتوره، دارند.

در عصر حاضر، استفاده از این برنامه‌ها باعث بهبود کیفیت زندگی کاربران و در عین حال بالا رفتن امنیت آنان خواهد شد. به کار بردن یک رمز واحد در چندین و چند حساب مختلف، با اینکه در ظاهر کاملاً منطقی و قابل درک می‌باشد، ولی یک روش بسیار خطرناک و با امنیت بسیار پایین به حساب می‌آید.

یک رمز عبور ضعیف چگونه است؟

یک رمز عبور ضعیف به رمزی اطلاق می‌شود که براحتی توسط هکر و یا هر مهاجم دیگری قابل حدس زدن باشد. چه این مهاجم، یک شخص حقیقی باشد و چه یک رایانه (و یا حتی شبکه‌ای از رایانه‌ها).

در این بین چندین روش حمله مرسوم وجود دارد که از حمله جستجوی فراگیر (brute force attack) گرفته تا مهندسی اجتماعی (social-engineering) را در بر می‌گیرد. در این بخش تعدادی از این روش‌های متداول را معرفی می‌کنیم:

• حمله جستجوی فراگیر (brute force attack): عبارت است از امتحان کردن تمامی ترکیبات ممکن از کاراکترها (شامل اعداد و علائم) برای ساخت کلمات و حدس زدن رمز عبور.
• حمله واژه‌نامه‌ای (Dictionary-based attack): استفاده از لیست کلمات عبور شناخته شده و پرکاربرد (به عنوان مثال password123 و ۱۲۳۴۵۶) برای حدس زدن رمز عبور.
• حمله فیشینگ (Phishing attack): در حمله فیشینگ، فرد مهاجم با فریب دادن مخاطب خود، اطلاعات حساب کاربری وی را مستقیماً از خود او دریافت می‌کند. این نوع حمله، اغلب از طریق ساخت یک ایمیل و یا صفحه وب جعلی که به ظاهر دقیقاً همانند نمونه رسمی و قانونی خود می‌باشد، انجام می‌گیرد و بدین ترتیب از کاربر درخواست می‌شود تا اطلاعات مهم حساب خود از قبیل کلمه عبور را وارد نماید. در نتیجه در این نوع حمله، کاربر با دست خود کلمه عبور را در اختیار هکر قرار می‌دهد. (برای اجتناب از افتادن در دام چنین حملاتی، هیچوقت به ایمیلی که از شما اطلاعات حسابتان را درخواست می‌کند، پاسخ ندهید. همچنین برای ورود به سایت‌هایی از قبیل سایت یک بانک، آدرس سایت را خودتان مستقیماً تایپ کنید و یا از یک موتور جستجوی ایمن همانند گوگل برای یافتن آدرس موردنظر استفاده نمایید).
• مهندسی اجتماعی (Social engineering): این روش کمتر از سایر مواردی که ذکر کردیم مورد استفاده هکرها واقع می‌شود. در این نوع حمله، فرد هکر با جلب اعتماد شخص مورد نظر، اقدام به سرقت اطلاعات وی و یا دسترسی به رایانه و یا حتی شبکه وی می‌نماید. از این حمله‌ها معمولاً برای جاسوسی از مراکز صنعتی استفاده می‌شود.

ضعف امنیتی شرکت‌های سرویس دهنده خود را فراموش نکنید

ضعف تدابیر امنیتی در شرکت‌ها می‌تواند موجب دزدیده شدن دسته جمعی اطلاعات تعداد زیادی از کاربران گردد و میلیون‌ها ایمیل و رمز عبور را به صورت یکجا در دسترس هکرها قرار دهد. هیچ شکی نکنید که حتی شرکت‌های بزرگ نیز برخی اوقات سهل‌انگاری‌هایی انجام می‌دهند که باعث لو رفتن اطلاعات کاربرانشان می‌شود. مانند ذخیره ایمیل‌ها و رمزهای عبور بدون رمزگذاری کردن آن‌ها و یا استفاده از یک کلید مشترک، برای رمزگذاری تمامی اطلاعات مربوط به حساب‌های کاربری.

در اینگونه موارد، شما به عنوان یک کاربر عادی، کار چندانی نمی‌توانید انجام دهید و باید همیشه این احتمال را مد نظر داشته باشید که رمز عبورتان ممکن است در نتیجه یک اشتباه امنیتی و یا سهل‌انگاری از سوی شرکت خدمات دهنده، لو رفته و مورد سرقت واقع شود. در ضمن بهتر است تا اخبار مربوط به هک شدن شرکت‌ها را پیگیری کنید تا از وسعت مشکل بوجود آمده اطلاع حاصل نمایید.

این مسئله نیز یکی دیگر از دلایلی است که اهمیت استفاده از نام‌های کاربری و رمزهای عبور مختلف برای سرویس‌های متفاوت را آشکار می‌کند. استفاده از کلمات عبور متنوع برای سایت‌ها و سرویس‌های مختلف باعث خواهد شد تا احتمال هک شدن تمامی حساب‌های کاربری، تنها به واسطه لو رفتن یکی از آن‌ها، بسیار کاهش یابد.

امنیت ایمیل؛ یکی از نقاط ضعف کاربران

هک کردن ایمیل کاربران، یکی از روش‌های ترجیحی هکرها برای دستیابی به اطلاعات بیشتر در مورد آن‌ها می باشد. بنابراین همواره از ایمن بودن ایمیل خود با استفاده از یک رمز عبور قدرتمند و احراز هویت دو فاکتوره، اطمینان حاصل نمایید. پیشنهاد می‌کنیم تا حتماً از سرویس دهنده‌های ایمیلی استفاده نمایید که بتوانند این سطح امنیتی را برایتان مهیا کنند.

اگر یک فرد مهاجم به اطلاعات ایمیل شما دسترسی پیدا کند، در این صورت به راحتی قادر خواهد بود تا رمزهای عبور شما در سایر سرویس‌ها مانند فیسبوک و … را نوسازی نماید، زیرا همانطور که اطلاع دارید اکثر سایت‌ها و سرویس دهنده‌ها از طریق ارسال لینک تغییر رمز عبور به ایمیل کاربر، اقدام به نوسازی آن می‌نمایند.

در انتها باید به این نکته اشاره نماییم که بسیاری از اطلاعات شخصی کاربران که به عنوان رمزهای عبور استفاده می‌شوند، می‌توانند توسط کسی که انگیزه لازم را داشته باشد کشف شوند، و یا از طریق یک مهندسی اجتماعی ساده در دست کسانی که به ظاهر موجه و قانونی به نظر می‌رسند، قرار گیرند.

از همین حالا شروع کنید

استفاده از رمزهای عبور قدرتمند و همچنین برنامه‌های مدیریت رمز عبور، به طور حتم در بالابردن امنیت کاربران و ارتقای کیفیت زندگی آن‌ها در عصر تکنولوژی، نقش بسیار مهمی دارد. پس اگر تا به حال نسبت به مواردی که در این مقاله ذکر کردیم، بی‌تفاوت بوده‌اید، به هیچ عنوان وقت را تلف نکنید و هر چه زودتر با استفاده از راهکارهای ارائه شده، امنیت خود را در فضای مجازی ارتقا دهید. مطمئن باشید با صرف کمی وقت قادر خواهید بود تا از عواقب وخیم و گاه جبران‌ناپذیر بعدی جلوگیری نمایید.

 منبع: دیجی رو