چگونگی ساخت، مدیریت و نگهداری پسوردهای استاندارد و ایمن

اجازه دهید بی‌پروا بگوییم، این روزها ایمن ماندن در دنیای دیجیتال می‌تواند به یک کابوس بدل شود. امروزه هر شخص به طور متوسط ۹۰ حساب کاربری آنلاین دارد. داشتن نام کاربری و پسوردهای قوی برای محافظت کردن از این حساب ها و اطلاعات شما ضروری است. اما در عمل، بخاطر سپردن همه‌ی این پسوردها کار بسیار دشواری است. به خصوص اگر بخواهید یک شهروند دیجیتال خوب باشید و برای تک‌تک پسوردهای خود از ترکیب‌های منحصر به فرد استفاده کنید.

اما راه‌حل چیست؟

در این مقاله هر آنچه برای مدیریت ایمن پسوردها لازم است، به شما توضیح خواهیم داد.

چرا داشتن یک پسورد استاندارد اهمیت دارد؟

انتخاب یک پسورد ایمن و استاندارد اهمیت بسیار زیادی دارد، زیرا می تواند از دسترسی غیرمجاز به دستگاه‌های فیزیکی و اکانت‌های آنلاین شما جلوگیری کند. اگر کرک کردن پسورد شما راحت باشد، هکرها می‌توانند به حساب بانکی، شبکه‌های اجتماعی، ایمیل و سایر اکانت‌های خصوصی‌تان دسترسی پیدا کنند و این موضوع می‌توانند صدمات جدی به زندگی شما وارد نماید.

داشتن پسوردهای قدرتمند خصوصاً در رابطه با شرکت‌های کوچک و متوسط اهمیت بیشتری دارد. صاحبان این شرکت‌ها نه تنها بایستی در مورد امنیت اطلاعات حیاتی‌ِشان اطمینان حاصل کنند، بلکه بایستی تمام تلاش خود را به کار بگیرند تا در صورت ذخیره‌سازی اطلاعات شخصی مشتریان در سرورهای شرکت، از آن‌ها به نحو احسن محافظت شود. شرکت‌های کوچک اغلب سوژه‌ی خوبی برای هکرها هستند، چون معمولاً توانایی لازم برای استفاده از خدمات تخصصی شرکت‌های امنیتی را ندارند. مجرمان سایبری هم به خوبی از این قضیه آگاه هستند، چرا که بر اساس آمار شرکت Verizon، در سال 2019، 43 درصد سرقت اطلاعات مربوط به تجارت های کوچک بوده است.

البته هیچ کدام از این موارد خبر غافلگیرکننده‌ای نیستند. احتمالاً از شنیدن توصیه‌های متخصصان امنیتی برای ارتقای ایمنی پسوردها خسته شده‌اید و دیگر حالتان به هم می‌خورد. با این حال، به نظر می‌رسد که بخش بزرگی از کاربران هنوز به این صحبت‌ها توجهی ندارند و همچنان از پسوردهای ساده استفاده می‌کنند. به گزارش NordPass reported، رایج‌ترین (در واقع بدترین) پسورد سال 2019، برای چهارمین سال متوالی، 123456، 12345 و همین‌طور کلمه‌ی password بوده است. از جمله‌ی دیگر پسوردهای رایج می‌توان به qwerty (با رتبه‌ی 10) و iloveyou (با رتبه‌ی 14) اشاره کرد.

چگونه هکرها پسوردهای شما را به سرقت می‌برند؟

بسیار خُب، داشتن یک پسورد قدرتمند احتمال دسترسی مجرمان سایبری به اطلاعات حساب کاربری شما را کاهش می‌دهد. اما هکرها چگونه پسوردهای شما را به سرقت می‌برند؟

۱ . فاش شدن پسوردها

هر از چند گاهی یکی از شرکت های بزرگ مانند Yahoo ،Dropbox و Gmail هک می‌شوند و در نتیجه میلیون‌ها پسورد در سطح وب فاش می‌شوند. با این کار هکرها نه تنها می‌توانند به همان حساب کاربری فاش شده دسترسی داشته باشند، بلکه می‌توانند از این اطلاعات برای دسترسی به سایر حساب‌های شما سوء استفاده کنند.

چطور؟

خُب، اگر جزو ۷۸ درصد کاربرانی که از پسوردهای تکراری استفاده می‌کنند باشید، هکرها به راحتی می‌توانند پسوردهای فاش شده‌ی شما را بیابند و با استفاده از آن به سایر حساب‌هایتان وارد شوند. این موضوع نشان می‌دهد که چرا هیچ وقت نباید از یک پسورد برای حساب‌های مختلف استفاده کنید.

۲. حملات Brute Force

Brute Force حمله‌ای است که در آن مجرمان سایبری با آزمایش کردن همه‌ی ترکیب‌های رشته‌ای ممکن، سعی می‌کنند وارد حساب کاربری شما بشوند. همان‌طور که احتمالاً حدس می‌زنید، انجام این کار به صورت دستی ممکن نیست. بنابراین هکرها از ابزارهای مخصوصی که برای این کار طراحی شده استفاده می‌کنند تا بتوانند در هر ثانیه میلیون‌ها بار، ترکیب‌های مختلف را آزمایش کنند. هر چه پسورد شما کوچک‌تر باشد، حمله‌ی Brute Force سریع‌تر می‌تواند آن را پیدا کند.

۳. کی‌لاگرها

کی‌لاگر (Keylogger) یک نوع بدافزار خاص است که در پس‌زمینه‌ی کامپیوتر شما اجرا می‌شود. اگر کی‌لاگر طوری طراحی شده باشد که بتواند به صورت ناشناس عمل کند، می‌تواند فشردن تک تک کلیدهای کیبورد شما را ثبت و آن‌ها را برای هکرها ارسال کند، در نتیجه اطلاعات ورود شما به راحتی قابل تشخیص خواهد بود. داشتن یک آنتی ویروس و ضدبدافزار کارآمد برای در امان نگه داشتن پسوردها و محافظت از کامپیوتر در برابر بدافزارها و کی‌لاگرها ضروری است.

۴. فیشینگ

فیشینگ (Phishing) شکلی از مهندسی اجتماعی است که بر روی خطاهای انسانی افراد تمرکز دارد. فیشینگ اساساً سعی می‌کند تا با استفاده از وب‌سایت‌های جعلی یا جا زدن اپلیکیشن‌ها به عنوان سرویس‌های معتبر، اطلاعات حساس کاربر را از خود او بگیرد. وقتی اطلاعات خود را در این سایت‌ها وارد کنید، در حقیقت اطلاعات خود را در اختیار هکرها قرار می‌دهید. از آنجایی که اثبات شده که این روش همچنان روشی موثر برای دستیابی به اطلاعات کاربر به شمار می‌آید، فیشینگ هنوز هم رواج زیادی دارد.

۵. ابزارهای اِکسپلویت

یکی از دیگر روش‌های سرقت پسوردها استفاده از ابزارهای اِکسپلویت (Exploit) است. همان‌طور که از نام این روش پیدا است، مهاجمان از این ابزارها روی سیستم‌هایی استفاده می‌کنند که از قبل اِکسپلویت شده باشند و کنترل دستگاه یا شبکه به دست هکرها در آمده باشد. برای مثال ابزار پرکاربرد Mimikatz برای دستیابی سریع به اطلاعات ارزشمند موجود در سیستم مانند پسوردهای آن مورد استفاده قرار می‌گیرد.

۶. جدول رنگین‌ کمان

در صورتی که سرویس مورد نظر شما از روش‌های رمزنگاری قوی استفاده نکند، حتی اگر شما به عنوان یک کاربر، از یک پسورد قدرتمند استفاده نمایید، باز هم احتمال به سرقت رفتن پسورد شما وجود دارد. امروزه اکثر شرکت‌ها از خطرات ذخیره‌سازی پسوردها به شکل متن ساده (Plain text) آگاه هستند و پسوردهای خود را به شکل هَش شده نگهداری می‌کنند. هَش (Hash) یک الگوریتم رمزنگاری ریاضی است که برای تولید یک Checksum مورد استفاده قرار می‌گیرد. (Checksum مقداری است که معمولاً برای شناسایی خطاهای اطلاعاتی استفاده می‌شود.) شرکت‌ها با استفاده از هَش‌های رمزنگاری می‌توانند، مقدار Checksum وارد شده را با مقداری که در پایگاه داده‌ی آن‌ها قرار دارد مقایسه نموده و درستی آن را تایید کنند. کل این فرآیند بدون این که شرکت بداند پسورد اصلی چه بوده انجام می‌شود.

اگرچه این روش برای نگهداری پسوردها بسیار ایمن به نظر می‌رسد، ولی هَش‌ها نیز نقایص خاص خودشان را دارند. هَش‌های رایج MD5 و SHA-1 تعداد مشخصی از احتمالات را شامل می شود، یعنی می‌توان آن‌ها را محاسبه کرد و حدس زد، که این مسئله قبلاً هم اتفاق افتاده است. این مقادیر قابل محاسبه، در لیستی که به نام جدول رنگین‌کمان معروف شده نگهداری می‌شوند، که هکرها با یک جستجوی ساده در آن می‌توانند پسوردهای هَش شده را رمزگشایی کنند. پس از آن که هَش به سرقت رفت و پسورد با استفاده از جدول رنگین‌کمان کرک شد، هکرها می‌توانند از اطلاعات ورود کاربر در سایر سایت‌هایی که این پسورد در آن‌ها به کار رفته نیز استفاده کنند. در این حالت، طول پسوردها اهمیتی ندارد، چون در جدول مذکور فقط هَش‌ها نگهداری می‌شوند.

برای مقابله با این مشکل، شرکت‌ها به هر پسوردی که قرار است ذخیره شود، یک عبارت تصادفی اضافه می‌کنند تا پیدا کردن پسوردهای قبلی سخت‌تر شود. با این کار برای کرک کردن پسوردها لازم است برای هر پسورد، یک جدول رنگین‌کمان مخصوص داشته باشیم که چنین کاری عملاً برای هکرها غیرممکن است.

اگر می‌خواهید بدانید که آیا اطلاعات حساب‌های کاربری شما قبلاً به سرقت رفته یا خیر، می‌توانید از وب‌سایت haveibeenpwned استفاده کنید. کافی است آدرس ایمیل خود را وارد نمایید تا این وب‌سایت در صدها مورد از هَک‌های بزرگ تاریخ جستجو کند و به شما بگوید که آیا اطلاعات‌ِتان در خطر است یا نه! علاوه بر این با استفاده از ابزاری که برای شما فراهم شده می‌توانید آدرس ایمیل خود را ثبت کنید تا در صورت فاش شدن اطلاعات‌ِتان در هَک‌های بعدی، به شما اطلاع داده شود.

چگونه پسوردهای استاندارد و ایمن بسازیم؟

یک پسورد خوب بخش مهمی از سیستم دفاعی شما را تشکیل می‌دهد، اما این موضوع در عمل به چه معنا است؟ خُب، فاکتورهای موثر در انتخاب یک پسورد خوب در طول سال‌های اخیر تغییر کرده‌اند.

در گذشته، یک قانون ساده وجود داشت که می‌گفت پسورد باید تا جای ممکن پیچیده باشد. شما هم به عنوان یک کاربر سعی می‌کردید در پسوردهای خود از اعداد، علائم و حروف کوچک و بزرگ استفاده کنید، و احتمالاً در نهایت چنین چیزی می‌ساختید:

3s+zq&KW

اما این روش به تدریج کنار گذاشته شد. دولت آمریکا اخیراً توصیه‌های جدیدی برای انتخاب پسوردها ارائه کرده و اذعان کرده است که در روشی که برای اولین بار پیشنهاد شده، نواقصی وجود داشته است. از همه‌ی این‌ها می‌توان دریافت که کامپیوترها متفاوت از انسان‌ها هستند.

هرچند حدس زدن پسورد بالا برای یک انسان بسیار دشوار است، ولی حدس زدن آن برای یک کامپیوتر به سادگی حدس زدن عبارت‌های هشت کاراکتری دیگری مانند magazine، princess یا umbrella است.

ولی خبر خوب این است که تولید یک پسورد قوی دیگر چندان مشکل نیست. برای ساختن یک پسورد خوب در سال 2021 به این سه اصل اساسی توجه کنید:

۱. طول پسورد زیاد باشد

اصلی‌ترین فاکتور برای تولید یک پسورد قدرتمند، از پیچیدگی به افزایش طول تغییر یافته است. هر کاراکتر اضافی، پسورد شما را در برابر حملات Brute Force مقاوم‌تر می‌کند. از این رو، یک پسورد خوب به سادگی با کنار هم قرار دادن رشته‌ای از کلمات تصادفی قابل تولید است، چیزی شبیه به این عبارت:

vagantgerontogenousnidifugousyorkkelpielongiloquence

هر چه عبارت طولانی‌تر باشد، بهتر است. توصیه می‌کنیم حداقل از ۱۶ کاراکتر در پسورد خود استفاده کنید.

۲. پسورد منحصر به فرد باشد

همان‌طور که قبل‌تر گفتیم، استفاده‌ی چندباره از یک پسورد برای سایت‌ها، اپلیکیشن‌ها و دستگاه‌های مختلف، شما را در معرض انواع خطرات غیرضروری قرار می‌دهد. بله، ممکن است ده‌ها یا شاید هم صدها حساب مختلف داشته باشید که به خاطر سپردن این همه عبارت را سخت کند، ولی این باعث نمی‌شود که از یک پسورد برای همه‌ی حساب‌های خود استفاده کنید. هر پسورد باید منحصر به فرد و امن باشد، حتی اگر برای سرویسی است که فقط می‌خواهید یک یا دو بار از آن استفاده کنید. همیشه احتمال این وجود دارد که یک روز اطلاعات کارت بانکی خود را به این سرویس‌ها بدهید و آن زمان دیگر یادتان نیست که باید پسورد خود را مناسب انتخاب می کردید.

۳.  پسورد باید کاملا تصادفی باشد

علاوه بر طول عبارت، تصادفی بودن آن هم اهمیت دارد. اگر همان‌طور که قبلاً گفتیم می‌خواهید از یک رشته‌ی تصادفی استفاده کنید، برای کنار هم قرار دادن این واژه‌های تصادفی، نباید فقط به ذهن‌ِتان اتکا نمایید، چون به احتمال زیاد حدس زدن عبارت نهایی از آنچه که فکر می‌کنید ساده‌تر خواهد بود. در عوض، برای تولید ترکیب‌های کاملاً تصادفی از ابزارهای مطمئن تولید پسورد استفاده کنید. از عبارت‌های متداول، نقل قول‌های معروف، ارجاعات و حتی چیزهای معنی‌دار و مشخص مثل تاریخ تولد، سالگردها، نام حیوانات خانگی خود و غیره هم استفاده نکنید. در صورتی که از این پسوردهای معنی‌دار استفاده کنید ممکن است کسی حضور آنلاین شما را زیر نظر بگیرد و با کمک سرنخ‌ها و اطلاعاتی که به دست می‌آورد، این عبارت‌ها را حدس بزند.

بهترین برنامه‌های مدیریت پسورد در سال 2020

تحت هیچ شرایطی، اطلاعات ورود حساب‌های خود را درون یک فایل متنی ساده ذخیره نکنید. با این کار یک هکر به سادگی می‌تواند لیست پسوردهای شما را به سرقت ببرد و زندگی دیجیتال‌ِتان را به آشوب بکشد. اگر صاحب یک شرکت هستید، ذخیره‌سازی پسوردها به شکل متون ساده، مشکلات امنیتی داخلی را هم افزایش می‌دهد، چون کارمندان به راحتی می‌توانند به اطلاعات حساب شما دسترسی پیدا کنند.

در عین حال به خاطر سپردن تعداد زیادی عبارت طولانی، تصادفی و منحصر به فرد هم کمابیش غیرممکن است. پس مطمئن‌ترین روش برای نگهداری از پسوردها در سال 2020 این است که از برنامه‌های مخصوص مدیریت پسورد استفاده کنید.

۱. KeePass

هرچند این برنامه از نظر رابط کاربری چندان جذاب نیست، ولی به جهت عملکردی خیلی سریع و روان است. این نرم‌افزار رایگان و متن‌باز، قابلیت نصب پرتابل دارد، یعنی می‌توانید آن را از روی USB هم اجرا کنید. KeePass ویژگی‌های امنیتی قابل توجهی مثل تولید پسورد، محلی برای نگهداری یادداشت‌ها و گزینه‌های مختلفی برای وارد کردن پسورد دارد. این برنامه برای مرورگرها و اندروید ابزار رسمی ندارد، ولی چندین برنامه‌ی غیررسمی برای آن ساخته شده است.

این نرم‌افزار اطلاعات کاربری شما را به صورت محلی ذخیره می‌کند، به همین خاطر نسبت به سایر راهکارهای مبتنی بر فضای ابری سازگاری کمتری دارد، (در نتیجه برای کسانی که می‌خواهند از این برنامه فقط بر روی یک دستگاه استفاده کنند مناسب است) ولی مزیت آن این است که احتمال لو رفتن پسوردهای شما کمتر می‌باشد. مثل همه‌ی نرم‌افزارهای متن‌باز، این‌جا هم می‌توانید کُدهای KeePass را بررسی کنید و در صورت امکان نواقص احتمالی، آن را شناسایی نمایید.

۲. Dashlane

استفاده از Dashlane ساده است و قابلیت‌های زیادی برای ایمن نگه داشتن پسوردهای شما دارد. این برنامه علاوه بر نگهداری از اطلاعات کاربری شما و پر کردن خودکار فرم‌های لازم، ابزاری برای تولید پسوردهای قوی و یک کیف پول دیجیتالی هم دارد که اطلاعات کارت‌های اعتباری‌ِتان را به شکلی ایمن مدیریت می‌کند و به شما اجازه می‌دهد تا به سرعت بتوانید خرید آنلاین داشته باشید.

اگر از قابلیت همگام‌سازی (Sync) استفاده کنید، Dashlane اطلاعات رمزنگاری شده‌ی شما را درون فضای ابری نگهداری می‌کند. در صورت غیرفعال‌سازی قابلیت همگام‌سازی، همه‌ی اطلاعات شما به طور دائمی از روی سرورها پاک می‌شود و فقط به شکل محلی به آن‌ها دسترسی خواهید داشت.

۳. Sticky Password

این نرم‌افزار هم با رابط گرافیکی کاربر پسند خود، ویژگی‌های خوبی را در محیطی آراسته ارائه می‌کند. Sticky Password هم مثل بسیاری از نرم‌افزارهای مدیریت پسورد، به شما اجازه می‌دهد تا بی‌نهایت پسورد را به شکلی ایمن، بر روی یک دستگاه ذخیره و مدیریت کنید. علاوه بر این با ارتقاء حساب کاربری خود به حالت پریمیوم، می‌توانید از همین حساب بر روی چندین دستگاه استفاده کنید. برخلاف برخی از ابزارهای مدیریت پسورد، این برنامه می‌تواند ورود به اپلیکیشن‌ها را نیز مدیریت کند. اگر تعداد نرم‌افزارهای شما زیاد است، این ویژگی برایتان بسیار کاربردی خواهد بود.

توانایی انتخاب کردن بین همگام‌سازی اطلاعات با سرورهای Sticky Password و یا ذخیره‌سازی آن‌ها به صورت محلی، قابلیتی مفیدی است که بدون در معرض خطر قرار دادن امنیت شما، به عنوان راهکاری منسجم، در اختیارتان قرار گرفته است.

۴. 1Password

این برنامه شاید بهترین ابزار مدیریت پسورد برای سیستم‌عامل مَک (هرچند که نسخه‌ی ویندوز و تحت مرورگر هم دارد) باشد. 1Password هر آنچه را که از یک ابزار مدیریت پسورد خوب می‌خواهید ارائه می‌کند. گفتنی است، برخلاف تقریباً همه‌ی نرم‌افزارهای مدیریت پسورد، این برنامه ازهیچ نوع مدل 2FA استفاده نمی‌کند و در عوض به رمزنگاری سراسری و استفاده از کلیدهای سرّی متکی است.

۵. RoboForm

RoboForm خود را درگیر ویژگی‌های پر زرق و برق‌ یا رابط کاربری چشم‌نواز نکرده و در عوض تلاش‌های خود را صرفاً روی مدیریت درخشان پسوردها متمرکز نموده است. این نرم‌افزار علاوه بر رمزنگاری ایمن، از پسورد گذاری اپلیکیشن‌ها، ذخیره‌سازی یادداشت و دسترسی اضطراری هم پشتیبانی می‌کند. این برنامه که به ابزار تولید پسوردهای شخصی‌سازی شده مجهز است، یکی از بهترین گزینه‌های موجود می‌باشد و سازنده‌ی آن هم به تازگی امکان ورود نامحدود را به نسخه‌ی رایگان آن اضافه کرده تا این نرم‌افزار را به یکی از مقرون به صرفه‌ترین گزینه‌های موجود در دسترس کاربران تبدیل کند.

۶. Bitwarden

اعضای تیم آزمایشگاه ما در امسی‌سافت استفاده از این ابزار را شدیداً توصیه می‌کنند و این توصیه دلیل بسیار خوبی دارد. این نرم‌افزار متن‌باز است، از قابلیت 2FA، رمزنگاری سراسری استفاده می‌کند و نسخه‌ی رایگان آن برخلاف اکثر گزینه‌های موجود در این مقاله، امکان همگام‌سازی نامحدود در میان همه‌ی دستگاه‌ها را فراهم می‌کند. Bitwarden یک ابزار تولید پسورد هم دارد و با سیستم‌عامل‌ها و مرورگرهای مختلف سازگار است. مزیت دیگر برنامه این است که می‌توانید پلتفرم زیرساخت میزبان آن را خودتان انتخاب کنید، یعنی اگر نمی‌خواهید، لزومی به استفاده از سرویس ابری Bitwarden وجود ندارد.

۷. LastPass

LastPass در اکثر لیست‌های بهترین ابزار مدیریت پسورد، در مقام نخست قرار می‌گیرد. این برنامه با بسیاری سیستم‌عامل‌ها سازگار است و ویژگی‌های خوبی مانند تولید پسورد قدرتمند و 2FA را دارد. اکنون مدتی است که LastPass به عنوان استاندارد طلایی ابزارهای مدیریت پسورد شناخته می‌شود. با این حال، باید به خاطر داشت که این نرم‌افزار در گذشته هَک شد ولی هش پیشرفته‌ی آن به هَکرها اجازه نداد تا پسوردها را کرک کنند.

ایمن‌ کردن پسوردها: دیگر بهانه ای وجود ندارد!

امروزه به خاطر سپردن و مدیریت همه‌ی پسوردها به صورت دستی، دیگر ممکن نیست. بهترین روش این است که پسوردهای خود را تولید کنید و آن‌ها را در یک ابزار مطمئن ذخیره نمایید. راه‌اندازی این برنامه‌ها فقط چند دقیقه زمان می‌برد و این صرف زمان، به طور حتم از این نظر که خیال شما را راحت می‌کند، ارزشش را خواهد داشت.

در کنار ابزار مدیریت پسورد، حتماً از یک راهکار امنیتی مطمئن مثل آنتی ویروس و ضد بدافزار امسی سافت هم استفاده کنید تا اطمینان یابید که سیستم عاری از هر گونه کی‌لاگر و بدافزاری است که می‌تواند امنیت اطلاعات شما را به خطر بیندازد.

روز خوب و محافظت شده ای داشته باشید!

برگرفته شده از:

How to create, manage and store passwords securely