چگونه یک پسورد قوی و فراموشنشدنی انتخاب کنیم؟
Posted on: بهمن ۱۰, ۱۳۹۵, by : مدیر سایتچگونه یک پسورد قوی انتخاب کنیم؟
طول، طول، طول
اگر شما حال و حوصله خواندن کل مقاله را ندارید، ازتان میخواهم به این دو مورد توجه کنید:
۱- کلمات عبور/عبارتهای عبور طولانی، عالی هستند
۲- از استفاده از کلمات عبور/عبارتهای عبور شناختهشده، دوری کنید
من بعدا به جزئیات باز خواهم گشت، اما قبل از آن، یکی از مشهورترین حملههایی که به کاربران میشود، brute force attacks نام دارد؛ در این نوع حمله، مهاجمان لیستی از پراستفادهترین پسورها و شناختهشدهترین آنها را جمعآوری و امتحان میکنند. هرچه پسورد طولانیترین داشتهباشید، وقت بیشتری برای کرکشدن نیاز دارید!
بیایید مثالی بزنیم، با استفاده از ابزار ZXCVBN password strength estimator، ما میزان زمان صرفشده برای شکستن پسوردهای مختلف را براساس طول آنها، اندازه گرفتیم.
- ۹agcZ: شانزده دقیقه
- ۹agcZE: پنج ساعت (۱۸ برابر قبلی)
- ۹agcZEM: سه روز (۱۴ برابر قبلی)
- ۹agcZEM7: چهار ماه (۴۰ برابر قبلی)
- ۹agcZEM7H: بیست و شش سال (۷۸ برابر قبلی)
- ۹agcZEM7Hq: قرنها
همانطور که میبینید، اضافهکردن حتی یک حرف، باعث میشود، حدسزدن پسورد بسیار سختتر شود. هکرها نمیتوانند هزینه زیاد شکستن پسوردهای طولانی را توجیه کنند، برای همین به سراغ اهداف بهتر میروند، درست است، پسوردهای کوتاهتر!
بخاطر سپاری پسوردهایی مانند پسوردهای بالا آسان نیست، بنابراین راه بهتری داریم….
ساخت پسورد فراموشنشدنی ولی سخت برای حدسزدن!
در عمل، سادهترین راه برای انتخاب پسوردی سخت برای حدسزدن ولی آسان برای بخاطر سپردن، انتخاب پسوردی است که یک حس را در شما برانگیزد و برای هیچکس دیگری چنین احساسی پیش نیاید. برای مثال، این چطور است؟
“on February 11 2011, I was walking with my dog Jimmy at 11 am near the lake”
این جملهای که من نوشتم، به درد کسی نمیخورد، اما یک جمله یا عبارت شخصی میتواند برای بخاطرسپاری بسیار آسان باشد، چرا که یک حس را به شما منتقل میکند. حدسزدن جملهای مانند این برای یک ماشین با استفاده از تمام ترکیبات ممکن، بسیار سخت و طاقتفرسا است.
برای شکستن پسوردی مانند این با تکنولوژی کامپیوتر امروزی، قرنها زمان طول میکشد (توجه: بهتر است از فاصله، کاما، عدد و کاراکتر خاص استفاده کنید).
لطفا از نقلقول و عبارات شناختهشده برای پسورد خود استفاده نکنید، زیرا این عبارات به راحتی میتوانند به یک دیتابیس اضافه و توسط ماشینها استفاده شوند. برای مثال، اگر پسورد شما may the force be with you باشد، بهنظر ایده خوبیست، اما این عبارت بسیار معروف است و اگر در دیتابیسی وجود داشتهباشد، میانبری برای شکستن پسورد شما خواهد بود.
پسورد فراموششدنی ولی سخت برای بخاطرسپاردن!
تصور غلطی که اکثر مردم دارند این است که پسوردی را که خود نتوانند بخاطر بسپارند، دیگران هم نمیتوانند حدس بزنند. این گفته همیشه درست نیست، بخصوص اگر دشمن شما یک کامپیوتر باشد که به راحتی پسوردهایی که اغلب مردم استفاده میکنند، را میتواند حدس بزند. پسوردهایی مانند جایگزین کردن L با ۱ یا o با ۰٫ مثل P4ssw0rd، درسته؟
مدیریت صدها پسورد با ابزار مناسب سخت نیست!
همچنین مهم است که بدانید، بخاطر سپردن دهها پسورد هم به اندازه صدها سخت است، (من بیش از ۱۵۰ اکانت) با پسورد قوی دارم. قدم بعدی شما استفاده از یک پسورد بسیار قوی برای نرمافزار مدیریت پسوردی مانند LastPass یا ۱Password است.
شما میتوانید با استفاده از سیستم احراز هویت ۲ مرحلهای، امنیت بیشتری به نرمافزار بدهید و یا طوری سیستم را تنظیم کنید که پس از مرگتان (خدای ناکرده!)، شخص دومی، بتواند به پسوردهای شما دسترسی داشتهباشد.
با استفاده از مدیریت پسورد، شما میتوانید پسوردهای تصادفی مانند ۹agcZEM7HqLcXX29ldQI انتخاب کنید، که قابل حدسزدن نیستند، اما بخاطرسپردن آنها هم آسان نیست.
از وقتی از مدیریت پسورد استفاده کنید، نیازی به بخاطرسپردن پسوردها نخواهید داشت، اگر هم تنظیمات از بین رفت، با یک پروسه مبتنی بر ایمیل میتوانید تنظیمات را ریست کنید.
مدیریت پسوردها یک جزء حیاتی از امنیت آنلاین هستند. آنها فقط پسوردهای تصادفی و قوی ارائه نمیدهند، این نرمافزارها طراحی سادهای برای استفاده و انتخاب یک پسورد اصلی قوی و همینطور احراز هویت ۲ مرحلهای، نیز ارائه میدهند.
آنها زندگی شما را بهتر و امنتر میکنند. استفاده دوباره از یک پسورد برای همه اکانتهایتان، فکر خوبی ینظر میرسد و قابل بخاطرسپردن است اما اگر یکی از اکانتهایتان بشکند، بقیه اکانتهایتان نیز به خطر میافتد.
پسورد ضعیف چیست؟
یک پسورد ضعیف پسوردی است که توسط دیگران، چه یک فرد باشد، چه یک کامپیوتر، چه یک شبکه از کامپیوترها، به راحتی قابل حدسزدن باشد.
مسیرهای حمله مشترکی از حدسزدن brute-force تا مهندسی اجتماعی وجود دارد، چندتا از آنها را در زیر ببینید:
- حمله Brute-force: امتحانکردن همه ترکیبات ممکن با کاراکتر و اعداد مختلف به فرم کلمه.
- حمله Dictionary-based: استفاده از پسوردهای رایج مانند password123 یا ۱۲۳۴۵۶٫ هرساله لیستی از بدترین پسوردهای دنیا منتشر میشود و شاید تعجب کنید که هزاران هزار از این پسوردها وجود دارد.
- حمله فیشینگ: فیشینگ به معنی فریب کاربر برای فاشکردن اطلاعات مهم خود است. این فریبها اغلب در صفحات ایمیل یا صفحات سرویسهای مشهور قرار دارد که در هنگام لاگینکردن، اطلاعات خود را وارد میکنید. در این صفحات، کاربر با کمال میل پسورد خود را به شخص اشتباه میسپرد.
برای اجتناب از این نوع فریب، برروی لینکهای مشکوکی که از شما اطلاعات حسابتان را میخواهند کلیک نکنید. برای لاگینکردن ایمیل خود به سایت آن رفته یا با گوگلکردن آن، به لینک گوگل بروید. - مهندسی اجتماعی: این یک مورد نادر در قضیه هک است که در آن با دوستیکردن و ایجاد رابطه نزدیک، برای نشاندادن چیزی یا دسترسی به کامپیوتر یا شبکهای است. البته این بیشتر در جاسوسی صنعتی بکار میرود.
شیوههای امنیتی ضعیف شرکتها را فراموش نکنید!
شیوههای امنیتی ضعیف شرکتها برای اکانتهای در اختیار خود، در بعضی مواقع، موجب هکشدن میلیونها ایمیل و اکانت شدهاست. هرگز تردید نداشتم، شرکتهای بزرگ بعضی مواقع کارهای احمقانهای مانند ذخیرهسازی ایمیلها بدون رمزگذاری و یا استفاده از یک کلید رمزگذاری برای همه اکانتها هم انجام میدهند.
وقتی این اتفاق بیفتد، شما کاری برای جلوگیری از هکنشدن اکانت و پسورد خود ندارید. شما باید برنامهریزی کنید که در صورت بروز مشکل داخلی، چگونه پسورد خود را حفظ کنید. شما فقط باید اخبار را زیرنظر داشتهباشید تا وسعت مشکلات امنیتی را درک کنید.
این اهمیت استفاده از پسوردهای مختلف، برای سرویسهای مختلف، را نشان میدهد، بنابراین از استفاده از یک پسورد برای هر اکانت خود اجتناب کنید.
امنیت ایمیلی یک نقطه ضعف است
هککردن یک اکانت ایمیل راهی بسیار عالی برای دستیابی به اطلاعات شماست، بنابراین از امنیت پسورد انتخابی و احراز هویت ۲ مرحلهای ایمیل خود اطمینان حاصل کنید. من پیشنهاد میکنم از سرویسدهنده ایمیلی استفاده کنید که این درجه از امنیت را ارائه میدهد.
اگر مهاجمی به اکانت ایمیل شما وارد شود، به این معناست که میتواند تمام پسوردهایتان از قبیل فیسبوک و توییتر را ریست کند. همه اینها فقط به یک ایمیل حاوی لینک ریست نیازمند است!
همه اطلاعاتی که دروازه امنیت نامیده میشوند، میتوانند توسط کسی که باانگیزه است، یا از طریق تماس تلفنی مهندسی اجتماعی از طرف کسی که تظاهر به قانونیبودن میکند، پیدا شوند.