Web
Analytics
go-to-top

تا دیر نشده فکری به حال گذرواژه های خود بکنید

1397/2/4 خشایار الهامی

متاسفانه میلیون ها نفر از کاربران همچنان از گذرواژه های فوق العاده ضعیف استفاده می کنند. این کار نادرست باید متوقف شود. وقت آن رسیده که آستین همت بالا زده و عزم تان برای متحول کردن سیاست های شخصی در به کارگیری گذرواژه را جزم کنید. 
از کجا می دانیم گذرواژه ضعیفی انتخاب کرده اید؟!


آیا ما از وضعیت گذرواژه های شما به طور خاص اطلاع داریم؟ قطعا جواب منفی است. بعید نیست شما یکی از معدود افرادی باشید که به اهمیت انتخاب گذرواژه مطمئن آگاه بوده و به طور کلی سیاست های امنیتی را برای حفظ حریم شخصی به خوبی رعایت می کنید (اگر این طور است که واقعا خوش به حال تان!). آیا اطلاعاتی کلی درباره وضعیت استفاده از گذرواژه ها توسط کاربران داریم؟ جواب مثبت است.
اما این اطلاعات را از کجا کسب کرده ایم؟ شرکت هایی متعددی اقدام به جمع آوری زباله های گذرواژه های هک شده شرکت ها و سازمان ها که متاسفانه هر سال رخ می دهند کرده و سپس آنها را تجزیه و تحلیل می کنند. معمولا این زباله ها شامل صدها هزار یا میلیون ها گذرواژه بوده و تصویری جامع از انواع گذرواژه استفاده شده توسط کاربران ارائه می دهند (و این که آیا کاربران در انتخاب گذرواژه دقت کافی را داشته اند یا خیر).
یکی از این شرکت ها به نام Splash Data (سازنده ابزار مدیریت گذرواژه SplashData و سیستم مدیریت گذرواژه سازمانی TeamID)، از سال ۲۰۱۱ شروع به جمع آوری و انتشار لیست رایج ترین گذرواژه های استفاده شده توسط کاربران کرده است. ۱۰ گذرواژه برتر هر سال را انتخاب و در قالب  یک جدول برای شما آماده کرده ایم:

 

گذرواژه های پرکاربرد


درست متوجه شدید: محبوب ترین گذرواژه های ۷ سال گذشته عبارت های ”password“ و ”123456“ هستند. در هیچ کدام از مدخل هایی که در جدول مشاهده می کنید کوچک ترین تلاشی برای انتخاب گذرواژه ای خوب نشده و بهتر است بگوییم که این عبارت ها نشان دهنده تنبلی محض کاربران هستند. بدتر از همه این که با گذشت این همه سال شاهد هیچ گونه بهبودی هم نیستیم. فقط جالب اینجاست که حداقل اژدها (عبارت dragon در سال ۲۰۱۴) توانسته آبروداری کرده و از میمون (عبارت monkey در سال ۲۰۱۲) سبقت بگیرد!
با توجه به آمار گسترده سرقت داده ها از سال ۲۰۱۱ به این سو، طبیعتا انتظار دارید حداقل شاهد اندکی بهبود در پروسه انتخاب گذرواژه باشید. اما همان طور که مشخص است میلیون ها کاربر همچنان از گذرواژه های بسیار ساده ای استفاده می کنند که حتی برای نفوذ به آنها نیازمند استفاده از ابزارهای پیشرفته نیست؛ کافی است اندکی صبر و حوصله به خرج داده و آنها را حدس بزنید.
شاید با مشاهده این لیست ها به خود افتخار کنید زیرا حداقل شما از چنین گذرواژه بسیار ساده ای استفاده نمی کنید اما آیا واقعا عبارت های انتخابی شما وضعیتی بهتر دارند؟ قبل از خوشحال و مغرور شدن بهتر است نگاهی به اصول امنیتی انتخاب گذرواژه داشته باشیم. شاید شما هم آن قدرها که فکر می کنید محتاط نیستید!

شاخصه های یک گذرواژه خوب چیست؟
قوانین انتخاب یک گذرواژه مناسب چندان پیچیده نیستند و البته با گذر زمان هم تغییر چندانی نکرده اند اما با این وجود تعداد بسیار کمی از کاربران صادقانه آنها را دنبال می کنند. در ادامه برخی از مهم ترین قوانین را بررسی خواهیم کرد:
طول مناسب. گذرواژه های خوب طولانی هستند. به عنوان یک قانون کلی هر چه گذرواژه طولانی تر باشد، شکستن آن با استفاده از روش های حمله Brute Force و دیکشنری دشوارتر خواهد شد (و البته طبیعتا حدس زدن آن هم بسیار مشکل تر می شود). باید همیشه از حداقل طول ممکن که برای گذرواژه پیشنهاد شده، بالاتر بروید. اگر یک وب سایت حداقل طول ممکن را ۶ کاراکتر تعیین کرده، شما کاراکترهای بیشتری انتخاب کنید. 
پیچیدگی. اجتناب از انتخاب واژه های ساده قانون دیگری است که باید رعایت کنید. از انتخاب واژه های به کار رفته در فرهنگ های لغت، نام مکان های مختلف و سایر اسامی معمول پرهیز کنید. نام میانی یا نام مستعارتان، نام حیوانات خانگی تان، اسامی استان ها، نام موسیقیدانان معروف و .... همه و همه عبارت هایی بسیار ضعیف بوده و به قریب به یقین در فایل های آماده ای که خرابکاران برای هک حساب های کاربری از آنها استفاده می کنند، قرار دارند. اگر از چنین واژه هایی برای گذرواژه استفاده می کنید، برای مثال کلمات dog، house یا blue، بهتر است حداقل ۴ لغت انتخاب کنید تا حداقل شانس هک شدن گذرواژه از طریق حملات Brute Force کاهش یابد. مثلا چنین عبارتی را به کار ببرید: MyDog$HouseIsBlue.
منحصر به فرد بودن. شاید بتوان گفت این مورد مهم ترین اصل در انتخاب گذرواژه است و البته بسیاری از کاربران کم ترین توجهی به آن ندارند. آن چه که از داشتن یک گذرواژه خوب مهم تر است، استفاده از گذرواژه های متفاوت برای هر وب سایتی است که در آن ثبت نام کرده اید. ممکن است شما بهترین گذرواژه جهان را داشته باشید؛ گذرواژه ای آن چنان عالی که حتی یک سوپر کامپیوتر برای شکستن آن باید چند دهه تلاش کند، اما اگر کل سیستم یک شرکت هک شده و هکرها بعد از کشف متوجه شوند با استفاده از این گذرواژه قادر به دسترسی به تمام کامپیوترها خواهند بود، فاجعه ای سنگین رخ خواهد داد. 
هر قدر هم که تلاش کنیم نمی توانیم حق این مطلب را به خوبی ادا کنیم. اگر از یک گذرواژه تکراری در چندین وب سایت استفاده نمایید و یکی از آن سایت ها هک شود، خرابکاران احتمالا فرصت نفوذ و ورود به حساب های شما در سایر وب سایت ها را خواهند یافت. اگر یک گذرواژه مشترک را برای چند وب سایت تعریف نمایید و این گذرواژه را برای حساب ایمیل تان انتخاب کرده باشید، باید به شما یک خسته نباشید جانانه گفت! با این کار نه تنها آدرس ایمیل شخصی تان به خطر خواهد افتاد بلکه هکرها فرصت بازنشانی گذرواژه سایر حساب ها را هم پیدا خواهند کرد. تصور کنید کلید منزل و کلیدهای تک تک اتاق ها را به سارقان تقدیم کنید! چه اتفاقی خواهد افتاد؟
با این اوصاف و تفاسیر بعید نیست هم اکنون در حال تمسخر ایده مطرح شده از سوی ما در مورد رعایت نکات امنیتی ساده اشاره شده در بالا باشید. یک گذرواژه طولانی، پیچیده و منحصر به فرد برای همه سایت هایی که در آنها عضو هستید؟ اما تعداد سایت ها بسیار زیاد است! چگونه می توان ۱۰۰ گذرواژه مختلف برای همه تعریف کرد، آنها را به خاطر سپرد و در مواقع مورد نیاز به یاد آورد؟! در اینجا به گام بعدی در رعایت اصول به کارگیری گذرواژه ها می رسیم: استفاده از ابزارهای مدیریت گذرواژه.

گریزی از ابزارهای مدیریت گذرواژه نیست
تا چند سال پیش صرفا مجبور به حفظ چند گذرواژه در حافظه بودید. برای مثال اطلاعات ورود به کامپیوتر منزل یا محل کار، همچنین اطلاعات حساب های کاربری تان در سایت های خرید (مثل آمازون یا eBay) و البته گذرواژه های حساب های بانکی. با توجه به تعداد کم گذرواژه ها، انتخاب عبارت هایی پیچیده و به خاطر سپاری و یادآوری آنها کار چندان دشواری نبود.
هر چند در حال حاضر شرایط تغییر کرده است. گسترش خدمات آنلاین برای هر کاری، از پرداخت صورتحساب ها، خرید، ثبت محصول، به روز رسانی نرم افزارها و ... باعث شده کاربران با دشواری های بسیاری در زمینه مدیریت اطلاعات حساب های کاربری مواجه شوند. ممکن است در بعضی موارد تعداد حساب های کاربری از ۱۰۰ عدد هم بیشتر شود (برای مثال شخصا مجموعه ای بیش از ۳۰۰ نام کاربری/ گذرواژه دارم!). قطعا هیچ کس توان مدیریت این همه نام کاربری و گذرواژه را ندارد. حتی کسانی را می شناسم که تعداد زیادی (شاید کمی بیشتر از ده تا) نام کاربری و گذرواژه به حافظه سپرده اند اما با این وجود گاهی اوقات آنها را فراموش می کنند (برای مثال هنگام استفاده از گذرواژه ممکن است با خود بگویند گذرواژه ام monkey بود یا monkey1؟ یا این که: حرف M را بزرگ نوشته بودم یا خیر؟! اه، بهتر است گذرواژه را ریست کنم!).
در عصر حاضر استفاده از ابزارهای مدیریت گذرواژه قدرتمند کاملا ضروری است. این ابزارها تمام دردسرهای مرتبط با مدیریت گذرواژه را از بین می برند. با استفاده از ابزاری مثل LastPass به سادگی می توان برای تمام وب سایت ها اقدام به ساخت گذرواژه های پیچیده و منحصر به فرد کرد و در مواقع مورد نیاز بدون کمترین زحمت آنها را استفاده نمود. در حقیقت یک ابزار قدرتمند مدیریت گذرواژه باید بتواند هم روی کامپیوتر و هم روی ابزارهای سیار شما عمل کرده و به طور خودکار و بدون نیاز به دست به کلید شدن کاربر و تایپ گذرواژه ، او را وارد وب سایت های مورد نظر کند. چه کسی مخالف راحتی و امنیت بیشتر است؟!
با توجه به تعداد بسیار زیاد اطلاعات ورودی که باید مدیریت کنیم، افزایش سرقت داده ها، و بروز مشکلات متعدد به واسطه استفاده مجدد از گذرواژه های تکراری (خصوصا برای وب سایت های حساس)، هیچ بهانه ای برای عدم استفاده از ابزارهای مدیریت گذرواژه به منظور ساخت و نگهداری گذر واژه های پیچیده باقی نمی ماند. البته در مطلبی دیگر اقدام به معرفی پنج ابزار برتر مدیریت گذرواژه کرده ایم که از اینجا قابل دسترس می باشد.

فعال سازی احراز هویت دو مرحله ای را فراموش نکنید
امیدوارم تا به این جا شما را برای نصب یک ابزار مدیریت گذرواژه به منظور ایجاد گذرواژه های منحصر به فرد و پیچیده برای همه وب سایت ها قانع کرده باشیم. اما یک گام نهایی برای نهایی کردن امنیت گذرواژه باقی مانده که اکیدا توصیه می کنیم انجام آن را پشت گوش نیندازید: فعال کردن احراز هویت دو مرحله ای. 
احراز هویت دو مرحله ای بسیار ساده است: در این روش برای ورود به یک وب سایت نیازمند دو شیوه متفاوت خواهید بود. حسابی که تنها یک گذرواژه دارد، صرفا از یک روش احراز هویت استفاده می کند: برای دسترسی به آن کافی است گذر واژه را وارد کنید. حسابی که از دو روش احراز هویت استفاده می کند نیازمند دو چیز خواهد بود: ابتدا تایپ گذرواژه و سپس وارد کردن یک کد دیجیتالی ۶ رقمی که شرکت به تلفن هوشمند یا تبلت شما ارسال می کند. به این ترتیب نفوذ به حساب کاربری شما فوق العاده دشوارتر خواهد شد. حتی اگر گذرواژه شما به واسطه نفوذ و هک افشا شود خرابکاران قادر به ورود به حساب شما نخواهند شد، چرا که به تلفن یا تبلت شما دسترسی ندارند. 
خوشبختانه احراز هویت دو مرحله ای در وب سایت های بانکی، خرده فروش های بزرگ (مثل آمازون)، و البته در سایت های ارائه دهنده خدمات امنیتی مثل LastPass، رایج شده است. اگر سرویسی که در حال استفاده از آن هستید قابلیت احراز هویت دو مرحله ای ارائه می دهد، دلیلی برای عدم فعال کردن آن ندارید. حداقل کاری که باید انجام دهید فعال کردن روش احراز هویت دو مرحله ای در سایت ها و خدماتی است که اگر به آنها نفوذ شود، زحمت بسیار زیادی برای شما ایجاد خواهد شد یا با ریسک سرقت اطلاعات هویتی مواجه می شوید (مثل اطلاعات بانکی یا داده های ابزار مدیریت گذرواژه).

نتیجه گیری
شاید دنبال کردن و اعمال اصول صحیح انتخاب گذرواژه کار جذاب و لذت بخشی نباشد اما امری است کاملا ضروری. اجازه ندهید امسال هم تفاوتی با سال قبل نداشته و در حالی که با خود نجوا می کنید، ”باید استفاده از این گذرواژه مشترک برای همه سایت ها را متوقف کنم“، باز هم همان گذرواژه همیشگی را برای ورود به حساب ایمیل و حساب بانکی تایپ نمایید. سال آینده که باز هم خرابکاران خبر از نفوذهای خود داده و وب سایت هم اقدام به انتشار لیست بدترین گذرواژه های سال کردند، نباید آب در دل شما تکان بخورد. از این پس به خودتان قول دهید تمام گذرواژه های شما حداقل سه ویژگی لازم را داشته باشند: طول مناسب، پیچیدگی و منحصر به فرد بودن.
منیع: howtogeek