img

ایجاد رمزهای سخت…

/
/
/

از آنجا که به‌خاطرسپردن رمزهای متعدد دشوار است، مردم معمولاً از تعداد محدودی رمز برای اکانت‌ها، سایت‌ها و سرویس‌های مختلف خود استفاده می‌کنند. امروزه به‌صورت مداوم از کاربران خواسته می‌شود که رمزهای جدید ایجاد کنند، در حالی که دیده می‌شود بسیاری از مردم، یک رمز واحد را ده‌ها یا صدها بار استفاده می‌کنند.

استفادۀ مجدد از رمزها، الگوی امنیتی نامناسبی است. چراکه اگر یک مهاجم به یکی از رمزها دسترسی پیدا کند، معمولاً این رمز را برای سایر اکانت‌های مربوط به آن کاربر نیز امتحان خواهدکرد. اگر کاربر این رمز را بارها استفاده قرار کند، مهاجم به اکانت‌های متعدد او دست پیدا خواهدکرد. این بدین معناست که یک رمز صرفاً در صورتی امن است که برای کمترین تعداد اکانت استفاده شود.

خودداری از استفادۀ مجدد از یک رمز، یک روش پیشگیرانۀ بسیار ارزشمند است، اما اگر رمزهای متفاوت داشته‌باشید، قادر به یادآوری تمام آن‌ها نخواهید‌بود. خوشبختانه نرم‌افزارهایی وجود دارند که در این زمینه به شما کمک کنند Password Manager (که password safe هم نامیده می شود) اپلیکیشنی است که به شما کمک می‌کند تعداد زیادی از رمزهای خود را کاملاً امن نگهداری کنید. بنابراین از استفاده از رمزهای یکسان در محیط‌های گوناگون جلوگیری می‌کند. Password Manager با استفاده از یک رمز اصلی یا در حالت ایده‌آل‌تر جملۀ رمزی از تمامی رمزهای شما محافظت می‌کند و درنتیجه شما صرفاً باید یک چیز را به‌خاطر بسپارید. کسانی که از این اپلیکیشن استفاده می‌کنند دیگر رمزهای مربوط به اکانت‌های مختلف خود را نمی‌دانند، چرا‌که این نرم‌افزار می‌تواند تمامی فرآیند ایجاد و نیز به یادآوری رمزها را برایشان انجام دهد.

به‌عنوان مثال KeepassX یک نرم‌افزار متن باز و رایگان برای حفظ امنیت رمزهاست که می‌توانید آن را در دسکتاپ خود نگهداری کنید. لازم است بدانید که در KeepassX، تغییرات و ضمایم به‌صورت خودکار در نرم افزار ذخیره نمی‌شوند، بدان معنا که اگر بعد از اضافه کردن چند رمز، سیستم دچار اشکال سخت افزاری یا اشتباه نرم افزاری شود، ممکن است رمزهایتان را برای همیشه از دست بدهید. میتوانید این موارد را در بخش تنظیمات تغییر دهید.

استفاده از password manager هم‌چنین به شما کمک می‌کند رمزهای مناسبی را انتخاب کنید که حدس‌زدن آن‌ها برای مهاجمان سخت باشد. این نیز مطلب مهمی است که معمولا کاربران از رمزهای کوتاه و ساده ای استفاده می‌کنند که حدس‌زدن آن‌ها برای مهاجمان آسان است؛ رمزهایی نظیر ۱۲۳۴۵، تاریخ تولد، اسم دوست، اسم همسر و یا حتی اسم حیوان خانگی. این اپلیکیشن در ایجاد یک رمز تصادفی بدون الگو و ساختار به شما کمک می‌کند که قابل حدس‌زدن نیست. به‌عنوان مثال می تواند رمزی نظیر vAeJZ!Q3p$Kdkz/CRHzj0v را انتخاب کند که یک انسان نه میتواند آن را به ذهن سپرده و نه می‌تواند حدس بزند. نگران نباشید؛ password manager آن را برایتان به خاطر خواهدآورد.

 

همگام‌سازی (سینک‌کردن) رمزها روی چندین دستگاه

ممکن است از رمز خود بر روی چند دستگاه مختلف نظیر کامپیوتر شخصی و یا گوشی تلفن همراه هوشمند (اسمارت فون) خود استفاده کنید. بسیاری از نرم‌افزارهای مدیریت رمزها، ویژگی همگام‌سازی (سینک‌کردن) رمزها را نیز در خود دارند. هنگامی که فایل رمز خود را سینک می کنید، رمزها در تمامی دستگاههای شما به‌روز رسانی‌خواهندشد. بنابراین اگر اکانت جدیدی را روی کامپیوتر خود اضافه کنید، هم‌چنان قادر خواهید بود از طریق اسمارت فون خود نیز به اکانتتان دسترسی داشته‌باشید.

سایر نرم‌افزارهای مدیریت رمز به شما پیشنهاد می‌دهند تا رمزهای شما را درCloud ذخیره کنند، بدان معنا که این اپلیکیشن رمزها را به‌صورت کدگذاری شده روی یک ریموت سرور ذخیره می کند و هنگامی که روی لپ‌تاپ یا موبایل خود به آن‌ها نیاز دارید، به‌صورت اتوماتیک بازیابی و کدگشایی می‌شوند.

نرم‌افزارهایی از این قبیل مناسب‌تر هستند، اما مسئله این است که آسیب‌پذیری آن‌ها در برابر تهاجم کمی بیشتر است. اگر رمزهای خود را فقط روی کامپیوتر خود نگهداری کنید، ممکن است هر کس که سیستم شما را در اختیار بگیرد، بتواند به رمزهای شما دسترسی داشته‌باشد.

اگر آن‌ها را در cloud ذخیره کنید، ممکن است مهاجم cloud را هم هدف قرار دهد. معمولاً لازم نیست نگران رمزگشایی سیستمتان باشید، مگر اینکه مهاجم شما احاطۀ قانونی بر شرکت‌های مدیریت رمز داشته‌باشد یا اینکه به هدف‌گیری شرکت‌های اینترنتی مشهور باشد.

 

انتخاب رمزهای سخت

فقط رمزهای اندکی هستند که لازم است به ذهن سپرده شوند و سخت باشند: رمزهایی که به‌شیوۀ کدنگاری، اطلاعات شما را قفل و ایمن می‌کنند. این رمزها شامل رمز سیستم شما، رمز سیستم کدگذاری (نظیر کدگذاری فول دیسک) و رمز اصلی نرم‌افزار مدیریت رمزهایتان هستند.

از آنجا که این رمزها همیشه طولانی‌تر از یک کلمه هستند، معمولاً به آن‌ها جملۀ رمزی گفته می‌شود. رمزهای کوتاه، به هر شکلی که باشند و هر چقدر هم به‌صورت تصادفی انتخاب شده‌باشند، مثل nQm=8*x or !s7e&nUY یا gaG5^bG، به‌اندازه کافی برای سیستم کدگذاری امروز، دشوار نیستند.

راه‌های بسیاری برای ایجاد یک رمز سخت و قابل به‌یادآوردن وجود دارد.  آسان‌ترین و مطمئن‌ترین راه، شیوۀ تاس از آرنولد رینهولد است.

 

ایجاد رمز را با استفاده از روش تاسِ رینهولد امتحان کنید.

هنگامی که از نرم‌افزار مدیریت رمز استفاده می‌کنید، امنیت رمزهای شما و نیز رمز اصلی تان وابسته به امنیت کامپیوتری است که که نرم‌افزار مدیریت رمزها را روی آن نصب کرده و از آن استفاده می‌کنید.

اگر به کامپیوتر شما حمله و نرم‌افزار جاسوسی روی آن نصب شود، جاسوس افزار می‌تواند هر آنچه را که تایپ می‌کنید، اعم از رمزها و رمز اصلی‌تان را ببیند و ممکن است محتویات نرم‌افزار مدیریت رمز شما را بدزدد. بنابراین بسیار مهم است که وقتی از نرم‌افزارهای مدیریت رمز می‌کنید، کامپیوتر و سایر دستگاه‌های خود را از وجود بدافزارها پاک کنید.

 

گفتاری در رابطه با پرسش‌های امنیتی

مراقب “پرسش‌های امنیتی”(پرسش‌هایی نظیر «نام کوچک مادر شما چیست؟» یا «اسم اولین حیوان خانگی شما چه بوده‌است؟») باشید که سایت‌ها از شما می‌پرسند تا زمان فراموش‌کردن رمزهایتان هویت شما را شناسایی کنند.

پاسخ‌های صادقانه به این پرسش‌ها عموماً حقیقت‌های قابل کشفی هستند که یک مهاجم مصمم می‌تواند به راحتی آن‌ها را کشف کرده و بدین ترتیب کاملاً از سد رمزهای شما عبور کند. مثلاً اکانت یاهوی سارا پالین که نامزد پست معاون رئیس جمهور در ایالات متحده امریکا بود، به همین شیوه هک شد.

به‌جای پاسخ‌های واقعی، پاسخ‌های ساختگی بدهید تا مثل رمزهایتان، هیچ‌کس چیزی دربارۀ آن‌ها نداند. به‌عنوان مثال اگر پرسش امنیتی درباره‌ی اسم حیوان خانگی شماست، ممکن است عکس حیوانتان را با این توضیح در یکی از سایت‌های اجتماعی به اشتراک گذاشته باشید: ” این هم یک عکس از گربه نازم، اسپات!” به‌جای استفاده از نام “اسپات”، می توانید این رمز را انتخاب کنید:Rumplestiltskin.

هرگز از یک رمز و یا پرسش امنیتی واحد برای اکانت‌های مختلفتان در سایت‌های مختلف استفاده نکنید. هم‌چنین لازم است رمزهای ساختگی و خیالیتان را هم در نرم افزار مدیریت رمزتان ذخیره کنید

به سایت‌هایی بیندیشید که از شما پرسشهای امنیتی پرسیده اند. تنظیماتتان را کنترل کرده و پاسخ‌هایتان را تغییر دهید.

بخاطر داشته‌باشید که یک نسخه پشتیبان از نرم‌افزار مدیریت رمز خود داشته‌باشید. اگر این نرم‌افزار دچار اشکال یا دستگاه شما دزدیده شود، ممکن است بازیابی رمزهایتان دشوار باشد. نرم‌افزارهای مدیریت رمز معمولاً امکان ایجاد نسخه پشتیبان را در خود دارند یا اینکه می توانید از نرم‌افزارهای متداول برای ایجاد پشتیبان استفاده کنید

معمولا می توانید از سایتها بخواهید از طریق ارسال یک ایمیل به ایمیلی که در سرویس خود ثبت کرده اید، رمز شما را عوض کنند. بهمین خاطر، ممکن است بخواهید جملۀ رمزی مربوط به این اکانت ایمیل را هم به ذهن بسپارید. اگر چنین کاری بکنید، راه مناسبی خواهید داشت تا رمزهای خود را بدون نیاز به نرم افزار مدیریت رمز، ریست کنید.

 

کنترلهای ورود چند عاملی و رمزهای یکبار مصرف

بسیاری از سرویس‌ها و نرم افزارها امکان استفاده از کنترل ورودهای دو عاملی را فراهم می‌کنند که به آن کنترل ورود دو مرحله‌ای گفته می‌شود. روش استفاده از این نوع کنترل ورود بدین ترتیب است که برای ورود به سیستم، نیاز به داشتن یک ابزار فیزیکی نظیر گوشی موبایل دارید، اما در برخی از نسخه ها، وسیله ای ویژه نیاز است که به آن “ژتون امنیتی” می گویند.

استفاده از فاکتور دوم، این اطمینان را به شما خواهدداد که حتی اگر رمز اکانت شما هک شده و یا به سرقت رود، سارق نمی تواند به اکانتتان وارد شود، مگر اینکه ابزار دوم شما و نیز کدهایی که تنها همین ابزار قادر به تولید آنهاست را نیز تحت کنترل و یا در اختیار خود داشته‌باشد.

به‌عنوان نمونه، این بدان معناست که سارق یا هکر باید برای دسترسی کامل به اکانت شما، بر لپ تاپ و گوشی تلفن همراهتان تسلط داشته‌باشد.

از آنجا که این امر صرفاً با همکاری ارائه‌دهندگان سرویس امکان‌پذیر است، اگر سرویسی که از آن استفاده می کنید چنین امکانی را نداشته‌باشد، شما نمی‌توانید به‌تنهایی چنین امکانی را برای خودتان ایجاد کنید.

کنترل ورود دو مرحله‌ای با استفاده از گوشی موبایل به دو شکل امکا‌نپذیر است: شرکت ارائه دهنده سرویس، هر بار که شما برای ورود به حسابتان اقدام کنید، پیامی برای تلفن همراهتان ارسال خواهدکرد(که شامل کدی امنیتی است که برای ورود باید آن را تایپ کنید)، یا اینکه گوشی تلفن شما برنامه مرورگری را به‌صورت اتوماتیک اجرا می کند که به‌صورت خودکار کدهایی را از داخل تلفن همراهتان ایجاد می‌کند. این امر به شما کمک می کند تا در شرایطی که یک مهاجم رمز شما را دارد اما به گوشی تلفن همراه شما دسترسی ندارد، از اکانت خود محافظت کنید.

برخی از سرویس‌ها نظیر گوگل، به شما این امکان را هم می دهند تا لیستی از رمزهای یکبار مصرف ایجاد کنید.

این رمزها را ممکن است چاپ کرده و یا بر روی کاغذی نوشته و همیشه با خود داشته‌باشید(هر چند ممکن است گاهی بتوانید تعداد کمی از آن‌ها را نیز به خاطر بسپارید). هر یک از این رمزها فقط یک بار استفاده می‌شود، بنابراین اگر یکی از آنها حین ورود به سیستم از طریق جاسوس افزارها به سرقت روند، سارق قادر نخواهد‌بود بعداً از آنها استفاده کند.

اگر خودتان و یا سازمانتان مجری زیرساختهای ارتباطیتان(نظیر سرور ایمیلتان) هستید، نرم افزارهای رایگانی هستند که می توانند برای دسترسی به سیستم‌هایتان، کنترل ورودهای دو عاملی تعریف و اجرا کنند. از مدیران سیستمهای خود بخواهید تا بدنبال نرم‌افزارهایی باشند که استاندارد “رمزهای یکبار مصرف با مبنای زمانی” یا RFC 6238 را پیاده‌سازی و اجرا می کنند.

 

تهدیدهای آسیب فیزیکی یا حبس

و بلاخره در نظر داشته باشید که همیشه یک راه برای اینکه مهاجمان بتوانند به رمز شما دسترسی پیدا کنند وجود دارد: می توانند شما را مستقیم و با آسیب جسمی یا ضبط دستگاهتان تهدید کنند. اگر از اینکه امکان این اتفاق وجود داشته باشد می‌ترسید، به‌جای اینکه مطمئن باشید هرگز رمزهایتان را از دست نمی دهید، بهتر است به راه‌هایی توجه کنید که از طریق آنها می‌توانید وجود اطلاعات بر روی سیستمی که آن را با استفاده از رمز حفاظت کرده‌اید، مخفی کنید. یک امکان این است که دست کم یک اکانت داشته‌باشید که حجم عظیمی از اطلاعات بی‌اهمیت را در آن ذخیره کرده اید؛ اکانتی که به سرعت بتوانید رمز آن را افشا کنید.

اگر دلیل موجهی دارید که بنا بر آن ممکن است کسی رمزهای شما را تهدید کند، بهتر است مطمئن شوید که چیدمان دستگاهتان به‌نحوی است که مشخص نخواهد شد اکانتی که آن را افشا میکنید، اکانت واقعی شما نیست.

آیا در صفحه ورود به کامپیوترتان، اکانت اصلی شما نشان داده می‌شود یا اکانت اصلی‌تان حین باز‌کردن یک مرورگر نمایش داده می‌شود؟ اگر پاسختان مثبت است، باید تنظیماتتان را تغییر دهید تا اکانتتان کمتر دیده شود.

اگر دلیل موجهی دارید که بنا بر آن ممکن است کسی رمزهای شما را تهدید کند، بهتر است مطمئن شوید که چیدمان دستگاهتان به‌نحوی است که مشخص نخواهدشد اکانتی که آن را افشا می ‌نید، اکانت واقعی شما نیست.

آیا در صفحه ورود به کامپیوترتان، اکانت اصلی شما نشان داده می‌شود یا اکانت اصلی‌تان حین باز‌کردن یک مرورگر نمایش داده می‌شود؟ اگر پاسختان مثبت است، باید تنظیماتتان را تغییر دهید تا اکانتتان کمتر دیده شود.

لطفا در نظر داشته‌باشید که تخریب شواهد و ادله یا جلوگیری از تحقیق و تفحص، جرمی جداگانه محسوب شده و پیامدهای جدی در بر خواهندداشت. در برخی موارد، برای دولت آسان‌تر خواهدبود که مجازاتی جدی و معتبر را برای جرمی آشکار در نظر بگیرد تا اینکه به دنبال اثبات یک جرم باشد که به کسی منتسب شده‌است.

 

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text