فرض کنیم شما به وب سایت های مختلفی وارد می شوید : فیس بوک ، جی میل، کلوب، سایت های مربوط به بانک ، فروم های گفتگو ، و احتمالا بسیاری موارد دیگر.
دو سوال زیر را در نظر بگیرید:
• آیا همیشه رمزهای عبور منحصر به فردی ایجاد می کنید و هیچ وقت از یک رمزعبو دو بار استفاده نمی کنید؟
• آیا رمزهای عبور شما همیشه متشکل از کاراکترهای مختلف (مثلا ترکیبی از حروف بزرگ و کوچک ، اعداد و علائم) است؟

اگر نمی توانید به هر دوی این سوالات پاسخ مثبت دهید، به مشکل بر خواهید خورد. اما نکته مهم این است که هیج راهی وجود ندارد بتوان تمام رمزهای عبور قوی و منحصر به فرد را به خاطر سپرد. حال هر چه زودتر متوجه این مطلب شوید زودتر می توانید راه حل مطمئنی برای آن پیدا کنید.

بگذارید ابتدا مشکل را شبیه سازی کنیم، با مثال های واقعی به شما نشان می دهیم که وقتی از رمزهای عبور تکراری و یا ضعیف استفاده می کنید، چه اتفاقی می افتد. همچنین به شما نشان می دهیم که چگونه با یک برنامه مدیریت رمزعبور خوب این مشکلات را حل کنید.

حکومت ستمگرانه اکانت های متعدد بر ذهن ما

"…امنیت تنها به میزان کاهش خطر بستگی دارد

 شما هیچ گاه به طور کامل ایمن نیستید،

 فقط صرفا میزان ریسک را کاهش می دهید."

یک لحظه فکر کنید...شما چند حساب کاربری در اینترنت دارید؟ ?? تا؟ 20 تا؟ 50 تا؟ خود من به تازگی 90 حساب مختلفم را شمرده ام و تازه خیلی از آنها را هم فراموش کرده ام. قطعا حتی با وجود 10 حساب هم هیچ راهی وجود ندارد که بتوان برای تمام آنها رمزهای عبور قوی و منحصر به فرد و قابل حفظ کردن داشت.

آنچه اتفاق می افتد این است که افراد معمولا برای رمزعبور از الگوهایی متشکل از نام افراد خانواده، حیوانات خانگی، سرگرمی ها و مطالب معمول و قابل پیش بینی دیگر استفاده می کنند. این الگوها شمشیر دو لبه هستند، در عین حال که قابل حفظ کردن هستند، قابل پیش بینی هم هستند. الگوها و کلمات قابل پیش بینی بد هستند، اما چیزی که از آن ها بدتر است استفاده مجدد از یک رمزعبور است. آسان؟ بله. ایمن؟ هرگز.

مشکل رمزهای عبور ضعیف

اولا رمزعبور ضعیف دقیقا چیست؟ اجازه دهید این سوال را با یک روش غیر مستقیم و تمرکز بر روی رمزهای عبور قوی پاسخ دهم. یک رمزعبور قوی رمزعبوری است که بالاترین میزان انتروپی یا بی نظمی را داشته باشد. یا به اصطلاح ساده تر رمزعبوری که تا حد ممکن طولانی و تصادفی(هم از لحاظ نوع حروف هم ترتیب آنها) باشد. افراد معمولا به طرز آشکاری در بکاربردن بی نظمی کافی و ایجاد رمزهای عبور رضایت بخش بی توجه هستند.

حال این مشکل را با بیان چند نمونه که اخیرا اتفاق افتاده است بیان می کنیم. اول سایت Gawker که دسامبر گذشته قربانی یک حمله بود و منجر به لو رفتن یک میلیون حساب کاربری شد را بررسی می کنیم. بدتر اینکه این حساب ها به صورت آن لاین برای همه افراد قابل مشاهده بود و هر کسی می توانست ببیند که چه افرادی با چه نام کاربری و رمزعبوری وارد سایت شده اند. و نکته جالب انتخاب رمزهای عبور نامناسب بود. به عنوان مثال:

123456, password, 12345678, qwerty, abc123, 12345, monkey,

 111111, consumer, letmein, 1234, dragon, trustno1,

baseball, gizmodo, whatever, superman, 1234567, sunshine,

fuckyou, starwars, shadow, princess, 



 cheese, iloveyou

این 25 رمزعبور 13411 مرتبه در حساب های Gawker بکار رفته بود. فقط و فقط اولین رمزعبور یعنی 123456 بیش از دو هزار و پانصد بار بکار رفته بود.

نمونه ساده دیگر حمله ای بود که ماه گذشته به سایت rootkit.com شد. طی بررسی های انجام شده، این 25 رمزعبور بیشتر استفاده شده بود:

 password, rootkit, 111111, 12345678, qwerty, 123456789,

123123, qwertyui, letmein, 12345, 1234, abc123, dvcfghyt, 0,

r00tk1t, ìîñêâà, 1234567, 1234567890, 123, fuckyou, 11111111,

 123456,master, aaaaaa, 1qaz2wsx

اینها آشنا به نظر می رسند؟ بدتر این است که نام کاربری متعلق به هر کدام را نیز می توان به راحتی پیدا کرد. اما آنچه در باره هر دوی این موارد جالب است و اینکه چرا قدرت رمز عبور مهم است – تمام این رمزعبورها به صورت رمزگذاری شده در بانک اطلاعاتی ذخیره شده بودند. بدون وارد شدن در مباحث رمزگذاری ، مشکلی که در هر دو مورد وجود داشت این بود که رمزگذاری خوب انجام نشده بود.

وقتی بانک اطلاعاتی سایتی مانند rootkit.com با رمزگذاری ضعیف هک می شود، هکرها می توانند با رجوع به دیکشنری رمزهای عبور معمول و مقایسه آنها با رمزهای عبور رمزگذاری شده عمل رمزگذاری را به صورت عکس انجام دهند.کار رمزگذاری ماهیتا به این صورت است که باید میلیون ها بار انجام شود، اما این کار کلا به صورت اتوماتیک انجام می شود.

 دیکشنری های رمزعبور و نرم افزاری که این رمزعبورها را در بانک اطلاعاتی هک شده اجرا کند ، عموما در دسترس هستند. بزرگ ترین محدودیت، قدرت پردازش مورد نیاز برای اجرای آن است، اما همانطور که همه ما می دانیم قدرت پردازش با سرعت زیادی در حال افزایش است. اما نکته ای که در اینجا مهم است، اگر رمزعبور شما با یک الگوی قابل تشخیص مطابقت داشته باشد یا اگر در دیکشنری های رمزعبور باشد و یا بر اساس اطلاعات شخصی شما (نام همسر یا فرزند) قابل حدس زدن باشد، شانس خوبی برای هکر است. اگر رمزعبور کوتاه باشد و یا به اندازه کافی کاراکترهای متغیر نداشته باشد، تعداد دفعات تست برای حدس زدن هم بسیار پایین می آید.

مشکل استفاده مجدد از رمزعبور
شما تا به حال متوجه شده اید که نباید از یک رمزعبور در چند جای مختلف استفاده کنید. اما اجازه دهید که برای شما توضیح دهم که چرا نباید این کار را انجام دهید. اخیرا ایمیلی دریافت کردم به این مضمون:

داشتن ایمیل و رمزعبور به خطر افتاده خوب نیست.اگر این اطلاعات مربوط به یک وب سایت باشد

یک دردسر است، ولی اگر این اطلاعات در حساب هایمالی، شبکه های اجتماعی و یا مخصوصا

در حساب ایمیل شما مجددا بکار رفته باشد، دیگرتنها یک دردسر نیست،بلکه ترسناک است و

برای جیب و اعتبار شما گران تمام می شود.

چیزی که وقایع روزمره به ما نشان می دهد این است که بر اساس تحلیل داده های واقعی، میزان استفاده مجدد از یک رمزعبور به طرز اخطاردهنده ای بالا است. بی شک بیشتر این مشکلات به ضعف های امنیتی در وب سایت ها بر می گردد. ساخت یک وب سایت با نقص های امنیتی بنیادی کار بسیار ساده ای است. مشکل دیگری که در اینجا وجود دارد، این است که همه توسعه دهندگان نرم افزار این نگرش را در پیش می گیرند که اطلاعات سایت ما خیلی حساس نیست، پس امنیت برای آن زیاد مهم نیست.

از آنجا که ما همگی از نام کاربری های تکراری استفاده می کنیم، و معمولا این نام کاربری همان آدرس ایمیل است، بنابراین انتخاب های زیادی وجود ندارد. و به سادگی با استفاده از نام کاربری و رمزعبور یک حساب کاربری لو رفته، تا حساب کاربری بعدی آن فرد راه کوتاهی وجود دارد.

هک حساب های کاربری افراد در سایت های مختلف چقدر رواج دارد؟
Gawker ، rootkit.com نمونه های جدیدی هستند، اما بسیاری نمونه های دیگر هم وجود دارد. در مورد دست یابی آن لاین احتمالا نام سایت Plenty of Fish را شنیده اید. خیلی جذاب و خوش ظاهر به نظر می رسد؟ سایت انگلیسی آنها اوایل امسال مورد هدف قرار گرفت.

فعالیت های بدخواهانه کامپیوتری و اغلب بدون تبعیض هستند. ما در حال حاضر 50 میلیون ویروس داریم و تنها سال گذشته 20 میلیون از آنها به افراد حمله کردند. این نکات را برای ترساندن شما عنوان نمی کنیم. بلکه به این دلیل که بدانید چقدر این مسائل معمول است. این مسائل هنگامی اهمیت پیدا می کنند که پای اطلاعات مالی و اعتباری شما در میان باشد. البته بخشی از آن به خاطر گردانندگان وب سایت ها است که حتی نمی داند این اطلاعات چه هستند.

اسطوره رمزهای عبور ایمن
در درجه نخست لغت ایمن اغلب به عنوان یک اصطلاح مطلق عنوان می شود. ولی اینگونه نیست. تنها کافیست به ویروس Stuxnet نگاهی بیندازیم. کامپیوترهای سانتریفیوژهای تجهیزات هسته ای برخی کشورها از سوی این ویروس با موفقیت مورد حمله قرار گرفته و ارتباط شان به طور کلی با اینترنت قطع شد. به طور حتم این کامپیوترها با در نظر گرفتن تعریف متعارف "ایمن" تلقی می شدند.

مثل این است که بگوییم یک اتومبیل "ایمن" است. برخی بهتر از بقیه هستند، ولی در نهایت همگی تمرین ریسک هستند. شما بر سر امنیت معامله می کنید. مثلا با میزان سادگی رمزعبور و یا قیمت پرداختی برای یک اتومبیل و در مقابل امکانات بهتری دریافت می کنید مثل زمان بیشتر برای لو رفتن رمزعبور یا ایربگ (کیسه هوا) و تجهیزات ایمنی بیشتر در اتومبیل.

در اینجا نظر افراد مختلف در ایجاد و به یاد سپاری رمزهای عبور ایمن را می بینیم:

* واقعا؟آیا می توانید تصور کنید که چندین دوجین رمزعبور از نوع "من ساندویچ دوست دارم" را حفظ کنید؟ به یاد داشته باشید که شما باید اصطلاح مورد نظر و اینکه چه حروفی در آن به کار برده اید و اینکه کدام یک را در کدام سایت استفاده کرده اید را به خاطر بسپارید.
* به علاوه کل ایده رمزهای عبور قوی، پرهیز از استفاده از رمزهای عبور قابل پیش بینی است. آیا جایگزین کردن"@" به جای "a" یا "3" به جای "e" واقعا شر آدم های بد را کم می کند؟ استفاده از حروف جایگزین لایه امنیتی ضعیفی است که همه این کلک را شنیده اند. (در واقع دیکشنری رمزعبورها که قبلا به آن اشاره کردیم شامل بسیاری از این جایگزینی ها در رمزعبورها است. در آنجا شما نمونه هایی مانند “s@yg00dbye” و “s0ccrRul3s” می بینید.)
* نوشتن رمزعبورها بر روی کاغذ نیز فایده ای ندارد. زیرا تعداد آنها زیاد است و باید همراه هر کدام نام سایت مربوط به آن را نیز یادداشت کنید.و این یعنی شما همه چیز را برای سارقان / بچه ها / و مهمانان فضول مهیا کرده اید. مشکل دیگری که در مورد نوشتن رمزعبورها وجود دارد این است که این روزها از مکان های مختلفی مثل کامپیوتر شخصی خانه، کامپیوتر شخصی محل کار و دستگاههای موبایل وارد حساب هایمان می شویم. عملا ما نمی توانیم کلید ورود به دنیای آن لاین خود را در کشوی یک میز محبوس کنیم و باید آن را همیشه به همراه داشته باشیم. این برای بسیاری از افراد دردسری بزرگ است.

و نکته آخر این که وارد کردن مداوم رمزعبور قوی و طولانی برای هر بار ورود بسیار خسته کننده است. به خاطر داشته باشید که رمزعبور قوی، بسیار طولانی و کاملا رندم است و اینها دقیقا چیزهایی است که باعث می شود تایپ دستی آنها خسته کننده و پر خطا باشد. خوب چطور است که آنها را در یک فایل متنی در یک سیستم مثل outlook ذخیره کنیم؟ اما از آنجا که دزدیده شدن آنها بسیار ساده است و وقتی این اتفاق بیفتد چون رمزگذاری نشده اند به راحتی باز می شوند، در این صورت به طرز نا خوشایندی در معرض خطر قرار می گیرید.

رها شدن از رمزعبورها

در عمل این کار غیر ممکن به نظر می رسد. چگونه امکان دارد که شما بدون به خاطر سپردن رمزعبورها وارد وب سایت های مختلف شوید؟ برای این کار به یک سیستم مدیریت رمزعبور اختصاصی نیاز دارید. در حال حاضر راه حل عملی و مطمئن دیگری غیر از این وجود ندارد.

خوشبختانه ابزارهایی منحصرا برای این کار وجود دارند. برای مثال LastPass ، KeePass و 1Password جزو برنامه های خیلی خوب مدیریت رمزهای عبور هستند. این ابزارها به شما امکان می دهند که تمام رمزهای عبور خود را در یک مکان با رمزگذاری قوی ذخیره کنید. البته برای باز کردن فایل رمز شده به یک رمزعبور اصلی نیاز دارید. اما همانطور که نام 2 تا از این ابزارها بیان می کند فقط نیاز دارید که یک رمزعبور و نه همه رمزهای عبورتان را حفظ کنید.

خوب اینجا نکته مهمی وجود دارد: رمزعبور اصلی برنامه باید یک رمزعبور بسیار قوی باشد. اگر می خواهید کلید تمام وب سایت هایتان را تنها در یک رمزعبور قرار دهید، باید تاریخ تولد و اسامی کودکان و ساندویچ ها را فراموش کنید و این بار واقعا به چیز بهتری نیاز دارید.

قبلا در نگهبان برنامه LastPass را معرفی کرده بودیم. در اینجا به معرفی برنامه 1Password خواهیم پرداخت.

با LastPass، فرماندهی رمزهای عبور را در دست بگیرید

روش کار با 1Password

با اجرای 1Password به شما نشان می دهم هنگامی که به روش سنتی وارد یک وب سایت می شوم چه اتفاقی رخ می دهد. برای مثال می خواهم وارد سایت Slashdot شوم و این پروسه تقریبا برای تمام سایت های دیگر به همین شکل است. ما با نام کاربری و رمز عبور معمول شروع می کنیم:

اما بعد از اینکه دکمه “Log In” را کلیک می کنم 1Password پیشنهاد می کند که اطلاعات را ذخیره کند.

نامی که برای این اطلاعات در نظر گرفته می شود به صورت پیش فرض آدرس صفحه است، اما هر زمان که بخواهم می توانم این نام را تغییر دهم. هر گاه که دکمه “Save” را کلیک کنم ، 1Password از من رمزعبور اصلی را می خواهد که این رمز، رمزعبوری است که برای مدیریت تمام رمزهای عبور دیگر مورد نیاز است.

این رمزعبور یک رمزعبور قوی است که باید به خاطر بسپارم. در حقیقت این تنها رمزعبوری است که باید حفظ کنم پس مطمئنا چیزی مانند “Iloves@ndwich3s” نخواهد بود.

پس ذخیره این اطلاعات در 1Password از Slashdot خارج می شوم و دوباره وارد می شوم. اما این بار به جای وارد کردن اطلاعات در صفحه ورود، بر روی آیکون کلید کوچکی که در سمت راست نوار آدرس مرورگر قرار دارد کلیک می کنم :

حال دوباره از من رمزعبور اصلی پرسیده می شود – تنها رمزعبوری که باید حفظ باشم. بعد از وارد کردن آن می توانم اطلاعاتی را که قبلا ذخیره کرده بودم ببینم:

من می توانم در این جا چندین مورد اطلاعات ورود داشته باشم (شما ممکن است بیش از یک حساب در یک سایت خاص داشته باشید.) حال بر روی اطلاعات اکانت مورد نظر دو بار کلیک می کنم. و تمام شد – وارد سایت شدیم. زیبایی این روش این است که برای همه سایت ها شبیه به هم است. دیگر نیازی نیست که تمام آن ?? رمزعبور را حفظ باشم.
شما همچنین می توانید از طریق مرورگرهای مختلف این کار را انجام دهید. من از گوگل کروم استفاده کردم اما 1Password با مرورگرهای دیگر نیز کار می کند.

ایمن شدن
البته این زمان خوبی است که رمزهای عبور خود را یک خانه تکانی کنید و 1Password به آسانی این کار را انجام می دهد. وقتی من کار را شروع کردم هر بار که به یک رمزعبور ضعیف برخورد می کردم به برنامه 1Pasword می رفتم و حساب کاربری را که ساخته بودم باز می کردم و یک رمزعبور جدید برای آن ایجاد می کردم. رمزعبوری که وان پسورد ایجاد می کند یک رمزعبور ایمن است. اما اگر به اندازه کافی آسان نیست که بتوانید آن را حفظ کنید، نگران نباشید زیرا تنها چیزی که باید حفظ کنید رمزعبور اصلی نرم افزار است.

خوب این کار رمزعبور شما را بر روی سایت موردنظر تغییر نمی دهد و تنها رمزعبوری را که در 1Pasword ذخیره کرده اید تغییر می دهد. برای ثبت این رمزعبور جدید در وب سایت باید آن را کپی کرده و به سایت مورد نظر رفته و آن را ثبت کنید.

همراه داشتن رمزهای عبور
چیزی که برای من مهم بود این بود که از هر مکانی و از هر دستگاهی و در هر زمانی می توانم به رمزهای عبورم دسترسی داشته باشم .کامپیوتر شخصی، کامپیوتر محل کار، آی پد و آیفون همگی می توانند همگام شوند.

1Passowrd به شما این امکان را می دهد که با استفاده از سرویس همگام سازی فایل Dropbox این کار را انجام دهید. این محصول بسیار قدرتمند بوده و به آسانی برای همکام سازی فایل های 1Password پیکربندی می شود.

و در آخر اینکه ، این بدان معنی است که تمام کامپیوترهای شخصی من دارای یک فایل رمزعبور ایمن یکسان بوده و آیپد و آیفون نیز به ترتیب برنامه کوچکی مثل این دارند:

آیا قرار دادن فایل رمزعبور به صورت آن لاین خطرناک نیست؟

خوب تا حدودی خطر وجود دارد، اما سرویس Dropbox در طول چند سال ایمنی خود را به اثبات رسانده است. و البته فایل 1Password نیز به طور ایمنی رمزگذاری شده و حتی اگر کسی فایل را بدست آورد، باز هم برای گشودن آن به رمزعبور اصلی نیاز دارد. در واقع ضعیف ترین پل ارتباطی، رمزعبوری است که احتمالا بر روی حساب Dropbox گذاشته اید که احتمالا با این تفاصیل آن را هم قوی انتخاب می کنید

آیا این همه تخم مرغ در یک سبد زیاد نیست؟
بله همین طور است ولی این سبد بسیار خوب و محکم و مطمئن طراحی شده است. یک نفر باید ابتدا فایل رمزهای عبور شما را داشته باشد و بعد از آن برای باز کردن آن باید رمزعبور اصلی را داشته باشد.که هیچ یک از اینها اتفاق نمی افتد. در حالیکه داشتن تمام اطلاعات حساب های مختلف در یک جا بی شک خوب نیست، اما خطر ان در مقایسه با لو رفتن آن از طریق وب سایت بسیار ناچیز است. البته خطر دیگر این است که شاید در 1Password یک آسیب پذیری ناشناخته پیدا شود. قطعا آسیب پذیری که ما آن را آسیب پذیری روز صفر می گوییم (چیزی که هنوز شناخته شده نیست ) امکان پذیر است. در واقع یک مورد از آن ماه گذشته در LastPass پیدا شد و طی چند ساعت آن را بر طرف کردند. و این نکته ای است که در محصولات حرفه ای این عصر وجود دارد. تمام موجودیت آنها در ارائه یک راه حل ایمن جمع شده است و اگر یک آسیب پذیری و راه نفوذ پیدا شود، می توانید مطمئن باشید که به سرعت از بین می رود.

نتیجه
بسیار خوب حالا که تمام این موارد فوق امنیتی را یاد گرفتید بسیار شکست نا پذیر شده اید درست است؟ و این مرا به یک نتیجه گیری فلسفی می رساند.

 امنیت چیزی نیست جز کاهش خطر!

شما هیچ گاه به طور کامل ایمن نیستید. بلکه تنها خطر را کاهش می دهید. خطر قرار داشتن اطلاعات شما در یک سایت بسیار ایمن به طور قابل توجهی از قرار دادن آنها در فایل 1Password بیشتر است.
اما گذشته از مسئله امنیتی، برنامه مدیریت رمزعبور یک روش بسیار خوب و کارامد است. در دسترس داشتن تمامی حساب ها بر روی تمامی دستگاهها و امکان ورود راحت با رمزهای عبور بسیار قوی گزبنه کاملا مناسبی است.

و سر انجام وقتی زمانی برسد که متوجه شوید یکی از رمزهای عبور شما بر روی یکی از سایتها لو رفته است (و مطمئن باشید که این اتفاق خواهد افتاد) آن زمان دیگر برای فکر کردن به امنیت رمزعبور خیلی دیر است. پس چند ساعت وقت بگذارید و به وضع خود سر و سامان دهید.