انتخاب پسورد عالی و بی نقص در واقع انتخابی بین دو گزینه است: ایجاد پسوردی امن با طول زیاد که منحصربفرد باشد و یا ایجاد پسوردی ساده که بتوانید آن را به خاطر بسپارید. شاید اینطور فکر کنید که همین حالا هم تعداد پسوردهای ما بیشتر از حد لازم است و سال‌هاست که دائماً در حال ساختن پسوردهای جدید هستیم. اما با افزایش تعداد رخنه‌های امنیتی و سرقت رمزعبور کاربران که انتظار می‌رود روزبروز بر تعداد این حوادث افزوده شود، داشتن یک استراتژی قوی برای حفظ امنیت پسوردها کاملاً ضروری است.

عنوان‌ها

چگونه پسورد را ذخیره کنیم؟پسورد من چقدر آسیب پذیر است؟چهار قانون برای انتخاب پسوردی امن قانون اول: پسوردها باید تا حد ممکن طولانی باشند قانون دوم: برای هر سایت یا سرویسی از پسوردهایی منحصربفرد و متفاوت استفاده کنید قانون سوم: اگر نتوانید رمزی را حفظ کنید وجود آن بی فایده است قانون چهارم: تغییر مرتب پسوردها شش استراتژی برای ایجاد پسوردهایی امن تر استراتژی اول: عبارت عبور استراتژی دوم: استفاده از زبان‌های خارجی استراتژی سوم: شعر یا تاریخ استراتژی چهارم: هر اطلاعاتی را در شبکه‌های اجتماعی منتشر نکنید استراتژی پنجم: میکس و ترکیب استراتژی ششم: دنیا، پسورد شماست!آیا باید پسوردتان را بنویسید؟آینده بدون پسورد

این مطلب را با پرداختن به یکسری از اصول یعنی: بهترین راه‌های ذخیره پسورد و خودداری از به کار بردن پسوردهای پراستفاده که به راحتی قابل حدس هستند شروع می‌کنیم. سپس به استراتژی‌هایی برای انتخاب پسوردهایی پیچیده و قابل حفظ کردن می‌پردازیم تا مطمئن شوید که در صورت بروز رخنه امنیتی، خطری اطلاعات شما را تهدید نمی‌کند.

چگونه پسورد را ذخیره کنیم؟

شاید این سوال برای شما هم ایجاد شده باشد که وقتی می‌توانیم پسورد را ذخیره کنیم چرا زحمت حفظ کردن آن را بکشیم؟ به احتمال زیاد همین حالا هم پسوردهای خودتان را به صورت رایگان در مرورگرهایی مثل گوگل کروم ذخیره کرده اید. استفاده از این روش آسان و وسوسه کننده به نظر می‌رسد به خصوص وقتی که مرورگرها پس از ورود پسوردتان، شما را دعوت به ذخیره کردن آن می‌کنند!

چه این کار از طریق یک پسورد منیجر اختصاصی مثل Dashlane انجام شود و چه قابلیت پسورد منیجری که در خود مرورگر تعبیه شده، در هر صورت معمولاً ذخیره کردن پسورد با این روش راحت تر به نظر می‌رسد.

معمولاً پسورد منیجر و مرورگر نیاز به یک رمز اصلی دارند که با وارد کردن آن می‌توانید به همه رمزهای ذخیره شده دسترسی پیدا کنید (مایکروسافت از پسورد ویندوز برای ذخیره رمزها در اج استفاده می‌کند و گوگل از رمز جی میل). حتی اگر همین یک پسورد را داشته باشید، باید آن را با دقت کامل انتخاب کنید.

پسورد من چقدر آسیب پذیر است؟

قطعاً از اینکه بفهمید پسوردهای ساده چقدر سریع و راحت هک می‌شوند و اینکه ماه‌ها و سال‌ها زمان می‌برد تا پسوردهای پیچیده کرک شوند، شگفت زده خواهید شد. در رخنه‌های امنیتی این پسوردها به شکل هش شده افشا می‌شوند و برای حدس زدن پسوردهای کاربران از سیستم‌هایی استفاده می‌شود که در هر ثانیه میلیاردها پسورد مختلف را امتحان می‌کنند. همانطور که تصویر زیر نشان می‌دهد، برای ایمن شدن پسورد به حداقل 10 کاراکتر نیاز دارید که هر چه تعداد این کاراکترها بیشتر باشد، بهتر است.

شرکت‌های بزرگی مثل Terahash می‌توانند چند صد جی پی یوی قدرتمند را ترکیب کنند تا راهکارهایی قوی برای کرک کردن پسورد بسازند که رمزهای ضعیف را بلافاصله هک می‌کنند. این نمودار نشان می‌دهد که تنها اضافه کردن چند کاراکتر به یک پسورد می‌تواند زمان لازم برای کرک کردن آن را به طور قابل ملاحظه‌ای افزایش دهد، حتی در صورت استفاده از چندین جی پی یو. — شرکت‌های بزرگی مثل Terahash می‌توانند چند صد جی پی یوی قدرتمند را ترکیب کنند تا راهکارهایی قوی برای کرک کردن پسورد بسازند که رمزهای ضعیف را بلافاصله هک می‌کنند. این نمودار نشان می‌دهد که تنها اضافه کردن چند کاراکتر به یک پسورد می‌تواند زمان لازم برای کرک کردن آن را به طور قابل ملاحظه‌ای افزایش دهد، حتی در صورت استفاده از چندین جی پی یو

در صورت وقوع رخنه امنیتی باز هم تا حدودی در امان هستید چون معمولاً در چنین رخنه‌هایی پسورد هزاران کاربر افشا می‌شود و هویت شما بین این تعداد قربانی احتمالی مشخص نخواهد بود مگر اینکه یک مهاجم به طور خاص شما را هدف گرفته باشد (البته اگر از قبل ارتباط بین نام کاربری و رمزعبور شما مشخص شده باشد، بسیار آسیب پذیرتر خواهید بود).

همچنین مهاجم باید کل پسورد شما را حدس بزند که کار ساده‌ای نیست. مهاجمان می‌توانند از حمله دیکشنری استفاده کرده و سعی کنند پسوردهای شناخته شده و پرکاربردی را که قبلاً هک شده اند شناسایی کنند. آنها می‌توانند از فیلتر، تعریف قانون و ابزارهایی به اسم جدول رنگین کمانی استفاده کنند که به ساده تر شدن فرایند کرک کردن پسورد کمک می‌کنند.

اما معمولاً سرویس‌ها و سایت‌های مختلف سعی می‌کنند مراقب حساب‌های کاربری باشند. اگر رمز حساب بانکی شما چند بار اشتباه وارد شود، دسترسی شما به سایت قطع شده و باید با ارائه اطلاعات بیشتر، احرازهویت شوید. با احرازهویت 2 مرحله ای، اگر مهاجم به پسورد شما دسترسی پیدا کند باز هم قادر به دسترسی به حساب شما نیست و به همین دلیل توصیه می‌کنیم که حتماً این احرازهویت را فعال کنید.

چهار قانون برای انتخاب پسوردی امن

برای حفاظت هر چه بیشتر از خودتان این قوانین را رعایت کنید.

قانون اول: پسوردها باید تا حد ممکن طولانی باشند

مهم ترین اصل برای ساختن پسوردی امن، انتخاب پسوردهای طولانی است. همانطور که قبلاً اشاره شد، طول پسورد اهمیت بسیار زیادی دارد. حتی پسوردی که از یک عبارت شناخته شده تشکیل شده باشد مثل JackandJillwentupthehill فقط به خاطر طولانی بودنش بسیار امن تر از یک پسورد کوتاه مثل bT6$g2 است.

بعضی از کارشناسان معتقدند که همین اقدام برای ایجاد پسوردهایی امن کافیست اما ما این مطلب را ادامه داده و سعی می‌کنیم پسوردهای پیچیده تری بسازیم.

هر کاراکتر از پسورد می‌تواند جزء حروف کوچک، حروف بزرگ، اعداد و یا کاراکترهای ویژه مثل % باشد. اگر فقط از حروف کوچک استفاده کنید، برای هر حرف از پسوردتان 26 کاراکتر مختلف می‌توانید داشته باشید که با در نظر گرفتن حروف بزرگ، اعداد و یک کاراکتر ویژه تعداد آنها به 96 کاراکتر می‌رسد. از آنجایی که گاهی اوقات ابزارهای بررسی پسورد طوری برنامه نویسی می‌شوند که فقط کاراکترهای کوچک را بررسی کنند، درج فقط یک عدد و یا یک کاراکتر ویژه می‌تواند آنها را بی اثر کند. به همین دلیل بانک‌ها قوانینی مثل ترکیب حروف بزرگ، کوچک، اعداد و کاراکترهای ویژه برای پسورد دارند تا پسورد کاربران طول مشخصی پیدا کند و برای پسورد منیجرها هم می‌توانید از پسوردهای طولانی تر هم استفاده کنید.

قانون دوم: برای هر سایت یا سرویسی از پسوردهایی منحصربفرد و متفاوت استفاده کنید

اگر یکی از پسوردهای شما در یک رخنه امنیتی افشا شود و نام کاربری شما هم مشخص باشد، هکرها می‌توانند از این اطلاعات برای پیدا کردن نام کاربری و پسورد شما در سایر سرویس‌ها استفاده کنند. به همین دلیل استفاده از پسوردهای مجزا و منحصربفرد توصیه می‌شود تا هر گونه آسیب احتمالی فقط به یک سرویس محدود شود.

پسورد منیجر به صورت خودکار برای همه سایت‌ها و سرویس‌های مورد استفاده شما پسوردهایی مجزا و منحصربفرد ایجاد می‌کند تا این مشکل حل شود.

قانون سوم: اگر نتوانید رمزی را حفظ کنید وجود آن بی فایده است

در صورت فراموش کردن رمزعبور می‌توان درخواست ریست پسورد داد اما برای پسوردهای خیلی مهم باید یک فرایند احرازهویت پیچیده و طولانی را طی کرد. در نتیجه یا باید رمزی استفاده کنید که بتوان آن را به راحتی حفظ کرد یا بعداً بتوان آن را با روش‌هایی که در ادامه توضیح داده می‌شود، پیدا کرد.

ویژگی مفید پسورد منیجر این است که فقط به یک پسورد طولانی نیاز خواهید داشت. اگر قرار است چند پسورد را مدیریت کنید، در این صورت باید مطابق با شرایط سایت مربوط به هر پسورد، طول و سایر ویژگی‌های آن را تنظیم کنید و این یعنی پسوردهای بیشتری برای به خاطر سپردن خواهید داشت.

قانون چهارم: تغییر مرتب پسوردها

پسوردی که افشا یا هک شده، یک پسورد مرده محسوب می‌شود. به محض اینکه خبر یک رخنه امنیتی را شنیدید، بلافاصله پسوردتان را در آن سرویس عوض کنید. حتی اگر رخنه‌ای صورت نگرفته، در صورتی که پسورد شما چندین سال آپدیت نشود مهاجمان می‌توانند از آن برای سرک کشیدن به زندگی دیجیتال شما استفاده کنند اما نباید اجازه دهید که چنین اتفاقی رخ دهد و پسوردتان را به صورت مرتب به روزرسانی کنید تا همیشه یک گام جلوتر از آنها باشید.

شش استراتژی برای ایجاد پسوردهایی امن تر

حالا که با الزامات پسوردهای امن آشنا شدید، در ادامه به بعضی از استراتژی‌های ساختن آنها می‌پردازیم. این بحث را با یک استراتژی ساده برای ساختن پسورد شروع کرده و سپس پیچیدگی آن را بیشتر می‌کنیم.

استراتژی اول: عبارت عبور

از نظر خیلی‌ها، یک استراتژی پسورد قوی اول از همه با ساختن عبارت عبور به جای کلمه عبور شروع می‌شود. عبارت عبور ترکیبی از کلمات یا اعداد است که طولانی بوده و می‌توانید آنها را حفظ کنید. چنین عبارتی می‌تواند بخشی از شعر مورد علاقه شما یا یک رشته کلمه باشد که برای شما معنا دار است مثل پنج طعم بستنی مورد علاقه شما.

Givemeliberty,orgivemedeath!

عبارت عبور باید شامل حروف بزرگ و کاراکترهای ویژه هم باشد و اگر در آن عدد هم وجود داشته باشد، پیچیدگی آن افزایش پیدا می‌کند.

Wrigley1060WAddisonSt.

یک نکته مهم این که نباید از عبارت‌های پرکاربرد و محبوب استفاده کنید چون شما از تکنیک‌های مهاجمان باخبر نیستید و ممکن است چنین پسوردهایی در حمله‌های دیکشنری وجود داشته و به راحتی شناسایی و هک شوند.

استراتژی دوم: استفاده از زبان‌های خارجی

اگر مهاجم از دیکشنری استفاده کند، ممکن است اول از همه عبارت‌های انگلیسی را بررسی کند. ترکیب و تطبیق دادن زبان‌ها بد نیست و می‌تواند به پیچیده تر شدن عبارت مورد استفاده شما کمک کند. Qu’est-cequec’estBigMac,otaku? یک نمونه از چنین عبارت‌هایی است.

استراتژی سوم: شعر یا تاریخ

اگر هدف شما ایجاد پسوردی است که حفظ کردن آن راحت است، استفاده از شعر روش بسیار خوبی برای رسیدن به این هدف است. مثلاً کتاب‌های نوشته شده توسط دکتر زوس حاوی کلماتی است که از نظر ظاهری مفهومی ندارد. پسورد شما می‌تواند یک یا دو خط از یک شعر باشد که یک کاراکتر اسلش بین آنها قرار گرفته تا پیچیدگی پسورد بیشتر شود.

passwords dr seuss 100883070 orig scaled — انتخاب یک شعر، استفاده از یک عبارت عبور، یک کلمه نامفهوم و ترکیب آن با حروف بزرگ می‌تواند برای ساختن پسوردهایی قوی مناسب باشد.

استراتژی چهارم: هر اطلاعاتی را در شبکه‌های اجتماعی منتشر نکنید

در یکی از مطالعات صورت گرفته توسط دانشگاه پکن مشخص شد که فقط با دانستن یکسری حقایق درباره یک شخص – مثل نام، جنسیت و شماره تلفن – می‌توان احتمال موفقیت الگوریتم‌های حدس زدن پسورد را به طور قابل ملاحظه‌ای افزایش داد. پس دقت داشته باشید که مهاجمان می‌توانند هر اطلاعاتی که در فیسبوک، توئیتر و اینستاگرام منتشر می‌کنید را علیه شما استفاده کنند.

همچنین برای ساختن پسورد فقط از اطلاعاتی استفاده که تنها خود شما می‌دانید نه دیگران. از نام اعضای خانواده یا حیوان خودتان استفاده نکنید اما مثلاً می‌توانید از اسم حیوانات یا بچه‌های اطرافیان استفاده کنید.

استراتژی پنجم: میکس و ترکیب

مطالعه‌ای که سال 2013 توسط Ars Technica صورت گرفت نشان داد که در مجموع “حروف بزرگ در ابتدا، حروف کوچک در وسط و حروف و کاراکترهای ویژه در انتهای پسورد قرار دارند” و معمولاً شامل اضافه کردن چند حرف و عدد تصادفی به یکسری کلمات پرکاربرد هستند.

پس میکس و ترکیب را فراموش نکنید. 2bornot2b,thatisthequestion شامل حروف بزرگ نیست اما یک خط از شعر مشهور شکسپیر را به شکلی متفاوت نشان می‌دهد (بودن یا نبودن، مسئله این است). پس هدف نهایی را فراموش نکنید یعنی ساختن پسوردی طولانی که بدون شک امنیت هم خواهد داشت.

Bruce Schneier محقق امنیت سایبری هم یک طرح مشابه اما پیچیده تر دارد که در آن یک جمله را در نظر گرفته و سپس آن را خلاصه می‌کند مثلاً:Who’s the leader of the band who’s made for you and me? تبدیل به W’sTLotbW’smade4u&me? می‌شود. اگر شما هم می‌خواهید که حدس زدن پسوردتان سخت شود می‌توانید از همین روش استفاده کنید.

یک استراتژی قدیمی تر هم وجود داشت که در آن اعداد جایگزین حروف می‌شدند اما حالا ابزارهای کرک پسورد طوری برنامه ریزی می‌شوند که این تکنیک را تشخیص می‌دهند در نتیجه حالا این استراتژی چندان امن نیست.

استراتژی ششم: دنیا، پسورد شماست!

برای انتخاب پسورد می‌توان از موضوعات مختلفی الهام گرفت مثل تکیه کلام استاد یا معلمتان یا علامتی که هر روز در مسیر رسیدن به خانه، مشاهده می‌کنید.

یا می‌توانید یک کتاب از قفسه کتاب‌های خودتان بردارید و از عنوان آن الهام بگیرید. — می‌توانید یک کتاب از قفسه کتاب‌های خودتان بردارید و از عنوان آن الهام بگیرید.

حتی می‌توان از کتاب به عنوان منبع پسورد هم استفاده کرده و بعد یک یادآور ساخت و همیشه همراه داشت. مثلاً اگر روی یک تکه کاغذ بنویسیم «صفحه 69، خط دوم» و داخل کیف پولمان قرار دهیم، حتی در صورتی که کسی به این تکه کاغذ دسترسی پیدا کند برای تشخیص پسورد باید مفهوم این تکه کاغذ را تشخیص داده و بعد تشخیص دهد که منظور ما کدام کتاب یا داکیومنت است و دقیقاً به همان نسخه دسترسی داشته باشد.

آیا باید پسوردتان را بنویسید؟

یکی از راحت ترین تکنیک‌هایی که برای حفظ پسورد به ذهن می‌رسد نوشتن آن است که درست یا غلط بودن آن به شرایط بستگی دارد.

مثلاً نوشتن رمز و نگه داشتن آن در آپارتمانی که به صورت مشترک با شخص دیگری در آنجا زندگی می‌کنید که به او اعتماد ندارید کاملاً اشتباه است. همچنین نوشتن پسورد روی یک برگه یادداشت که به کامپیوترتان در محیط اداره چسبیده شده باشد.

اما در محیط منزل شخصی خودتان که فقط افراد قابل اطمینان در آنجا هستند، نوشتن و نگه داشتن پسورد منطقی تر است. می‌توانید این پسورد را در محلی امن نگهداری کنید تا در صورت بروز مشکل برای خودتان یک شخص قابل اعتماد به آن دسترسی داشته باشد.

آینده بدون پسورد

امروزه به تدریج از اهمیت پسورد کم می‌شود. همین حالا هم با استفاده از تکنیک‌هایی مثل تشخیص چهره یا اثر انگشت به سمت آینده بدون پسورد حرکت کرده ایم. متأسفانه هنوز هیچ کدام از این راهکارهای جایگزین عمومی نشده اند در نتیجه تا وقتی که ملزم به استفاده از پسورد هستیم باید هر کاری که می‌توانیم را برای حفظ امنیت آن انجام دهیم.