۴ نکته مهم در خصوص امنیت کلمه های عبور

کمیته رکن چهارم – اگر چه طول کلمه عبور و پیچیدگی آن اهمیت زیادی دارد اما تنها در صورتی این نکته مهم است که این مشخصه‌ها ساختار مناسبی هم داشته باشند.

صحبت در خصوص امنیت کلمه عبور، مبحثی است که شاید برای بعضی از افراد خسته کننده هم به نظر برسد اما در واقع راهکاری است که دارای اهمیت زیادی بوده و مانع از دسترسی اشخاص غیرمجاز به اطلاعات سیستم ها می شود. ایمیل یا رسانه‌های اجتماعی، بانکداری یا بازی‌های آنلاین، برنامه‌های تحصیلی یا سرویس‌های آنلاین و به طور خلاصه هر چیزی که قسمتی از داده‌های کاربران را در خود نگه دارد، برای محافظت از آنها از دست افراد خرابکار همچنان به کلمه عبور نیاز دارد. بنابراین اگر کاربران از کلمه های عبور مناسبی استفاده نکنند، قطعاً مهاجمان سایبری به غارت حساب‌های بانکی و سرقت اطلاعات آنها خواهند پرداخت.

همه ما با این اصول اولیه آشنا هستیم که نباید از کلمه “password” برای رمز عبور خود استفاده کرده و از یک کلمه عبور نیز برای سایر حساب های کاربری مان استفاده نکنیم‌. همچنین باید هر زمانی که امکان داشت احراز هویت دوعاملی را برای حساب‌های آنلاین مان فعال کنیم. کلمه های عبور یک‌بار مصرفی که از طریق SMS ارسال می‌شوند، از حالتی که هیچ گذرواژه‌ای استفاده نشود بهتر هستند.

در صورت زیاد بودن حساب های کاربری تان شما می توانید از یک برنامه مدیریت کلمه های عبور استفاده کرده تا تمامی رمزهای عبورتان را در آن ذخیره کنید. بسیاری از این توصیه‌ها در خصوص امنیت کلمه عبور کاملاً منطقی به نظر می‌رسد اما برای آن که مفید واقع شوند لازم است به صورت کامل توسط کاربران رعایت شوند. در ادامه این مطلب، تعدادی از نکات مهم مربوط به ایجاد کلمه عبور که عمومیت زیادی دارند، آورده شده‌ است که ما فقط آنها را برای شما شفاف سازی کرده ایم.

۱. کلمه عبور شما باید ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکتر‌های خاص باشد.

حقیقت: برای امنیتی که کلمه های عبور پیچیده می توانند برای شما فراهم کنند، حد و مرزهایی وجود دارد. بله، شاید “letmein” گذرواژه بدی باشد اما “password1″، “Abc123″ و ” Passw0rd” نیز با وجود داشتن حروف کوچک و بزرگ و اعداد، بهتر از آن نیستند. ساختن رمزهای عبور بر پایه کلمات موجود در لغتنامه ایده مناسبی نیست. جایگزینی برخی حروف با اعداد یا علایم نیز چندان کار هوشمندانه و منحصر به فردی به شمار نمی‌آید. افرادی که کلمه های عبور را کرک می‌کنند به خوبی می‌دانند که باید کلماتی نظیر “vuln3rabl3” یا “trustno1” را در جستجوهایشان بگنجانند. در واقع، گذرواژه‌های گفته شده در صدر لیست بدترین کلمه های عبور مرسوم که توسط شرکت های امنیتی و مؤسسه های تحقیقات سایبری ارایه می شوند، هرگز نباید توسط هیچ کاربری استفاده شوند.

اگر بخواهیم منصف باشیم، استفاده از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص نسبت به حالتی که تماماً از حروف کوچک استفاده شود، گذرواژه‌های قوی‌تری ایجاد می‌کند. با توجه به توان پردازشی موجود، زمان دقیق می‌تواند متفاوت باشد اما در حالت معمول یک رایانه مدرن کمتر از چند ساعت زمان نیاز خواهد داشت تا یک گذرواژه هشت حرفی که همه حروف آن به صورت کوچک استفاده شده باشد را کرک کند (چرا که در کل ۲۶ به توان ۸ یا به عبارتی ۲۰۸۸۲۷۰۶۴۵۷۶ ترکیب وجود دارد) اما یک Botnet بزرگ تنها در ۸/۱ ثانیه قادر است آن را کرک کند.

استفاده از حروف کوچک و بزرگ، اعداد و نشانه ها در صورتی که رشته استفاده شده تصادفی نباشد، هیچ فایده‌ای نخواهد داشت. گزینه‌هایی مانند “۱qaz2wsx” و “۱q2w3e4r” (به صفحه کلید نگاه کنید تا الگوی آنها را متوجه شوید) همواره در لیست بدترین گذرواژه‌های مرسوم که هستند که استفاده از آنها هرگز هم توصیه نمی شود. کاربران همواره در تلاش هستند تا از قوانین پیروی کنند اما استفاده از انواع کلید‌های ترتیبی یا الگوهای متداول، مزیت‌های این قانون را تضعیف می‌کند. افرادی که گذرواژه‌ها را کرک می‌کنند از الگوهای کلید ترتیبی آگاهی دارند و می‌توانند با نگاهی به صفحه کلید، الگوهای احتمالی را پیدا کنند.

۲. یک کلمه عبور خوب باید به اندازه کافی طولانی باشد.

حقیقت: طولانی‌تر بودن کلمه عبور قطعاً بهتر است اما استفاده از هشت تا دوازده کاراکتر هم می‌تواند کافی باشد. زمان صرف شده برای کرک کردن یا جستجوی فراگیر گذرواژه‌های کوتاه‌تر نسبت به کلمه های عبور طولانی‌تر کمتر است. مهاجمی که قصد دارد یک کلمه عبور شش حرفی را حدس بزند قطعاً رویه آسان‌تری را نسبت به زمانی که قرار است یک کلمه عبور هشت حرفی یا حتی ده حرفی را پیدا کند، طی می‌کند. در یک رایانه مدرن، پیدا کردن یک کلمه عبور که ترکیبی از حروف کوچک و بزرگ و اعداد است، ۸۸/۵ سال طول خواهد کشید اما در یک Botnet قوی این زمان تنها کمتر از نیم ساعت خواهد بود. افزایش طول کلمه عبور تا ۱۰ کاراکتر، این زمان را برای همان Botnet تبدیل به ۸۳ روز خواهد کرد. پیدا کردن یک گذرواژه ۱۰ حرفی “%ZBGbv]8g?” که در آن ترکیبی از حروف، اعداد و علائم استفاده شده است برای یک رایانه، ۲۸۹۲۱۷ سال و برای یک Botnet فقط سه سال زمان می‌برد.

حتی بدون نیاز به استفاده از علائم و اعداد، پیدا کردن یک کلمه عبور که تنها از حروف کوچک و بزرگ استفاده کرده باشد و طولی در حدود ۴۰ کاراکتر داشته باشد، بیش از هزار سال زمان می‌برد. مشخصاً کلمه های عبور طولانی همان راهی است که ما برای حفظ امنیت حساب‌های کاربری و اطلاعاتمان باید پیش بگیریم و لازم است مطمئن شویم که کلمه های عبور را در طولانی‌ترین حالت ممکن به کار می‌بریم (البته این موضوع که چه تکنیک‌های هش کردنی پیش از ذخیره سازی کلمه عبور به کار برده شده نیز مهم است اما به این مطلب مربوط نمی‌شود).

عجله نکنید. بیایید به مدل تهدید هم فکر کنیم. بزرگترین مشکلی که در اینجا به آن پرداخته شده است، چیست؟ اگر بیشترین نگرانی موجود این است که چه کسی وارد پایگاه داده شده و کلمه های عبور هش شده را سرقت خواهد کرد، به این ترتیب استفاده از رمز عبورهای طولانی و پیچیده قطعاً راهی است که باید در پیش گرفت. یک سازمان اغلب نگران استفاده مجدد از گذرواژه‌ها و فیشینگ است که در این مورد طول کلمه عبور چندان اهمیتی نخواهد داشت. اگر مهاجم، کلمه عبور واقعی را از طریق حملات فیشینگ به دست آورده باشد، در این حالت اینکه طول رمز عبور ۸، ۲۰ یا ۵۰ کاراکتر باشد دیگر مهم نیست.‌ یک کپی و چسباندن کافی است تا مهاجمان بتوانند وارد سیستم‌ها ‌شوند. اگر از کاربران خواسته شود که یک گذرواژه ۲۰ حرفی وارد کنند و از برنامه‌های مدیریت رمز عبور نیز استفاده نکنند، در این صورت این گذرواژه‌ها در جاهای دیگر نیز مورد استفاده قرار خواهند گرفت. این یک واقعیت اثبات شده است.

از چه چیزی قرار است محافظت شود؟ پاسخ این پرسش نیز اهمیت دارد. اگر بحث محافظت از یک منبع با مخاطره پایین نظیر یک کتابخانه عمومی محلی مطرح باشد، یک کلمه عبور هشت حرفی مناسب است ولی اگر بحث کل تاریخچه مالی‌تان در میان باشد استفاده از یک گذرواژه طولانی‌تر ضروری است. امنیت، یک موضوع موازنه‌ای است؛ شما محافظت حساب‌های کاربری‌ ارزشمند‌تان را با ابزارهای محافظتی در سطح قلعه KNOX (قلعه‌ای که نفوذ به آن غیرممکن است) انجام می‌دهید. یک رمز عبور را در چند جا به کار نبرید، حواس تان به کلاهبرداری‌های فیشینگ باشد و این را نیز در نظر داشته باشید که کلمه های عبور هشت حرفی می‌توانند برای بسیاری از حساب‌های کاربری کافی باشند. به همین دلیل است که در راهنمای اخیر مؤسسه استاندارد و فناوری آمریکا (NIST)، گذرواژه‌های هشت حرفی مناسب در نظر گرفته شده‌اند.

البته یک مشکل کوچک نیز وجود دارد: گذرواژه‌ها به اندازه کافی طولانی باشند اما پاسخ به گزینه «رمز عبورتان را فراموش کرده‌اید؟»، استفاده از پاسخ‌های مبتنی بر دانش برای تنظیم مجدد کلمه عبور باشد. بعضی افراد ترجیح می دهند از نام حیوان خانگی یا شهری که در آن بزرگ شده‌اند یا حتی مدرسه ای که در آن درس خوانده اند برای بازیابی دوباره کلمه عبورشان استفاده کنند که چنین کاری احتمال حدس زدن کلمه عبور را توسط نفوذگران سایبری افزایش می دهد.

۳. هرگز کلمه عبورتان را در جایی ننویسید.

حقیقت: مسئله بیشتر مربوط به نحوه انجام این کار توسط شما است. در کنار استفاده از “Password1” به عنوان کلمه عبور، اشتباه بزرگتری که امنیت را دچار مخاطره می‌کند نوشتن کلمه عبور است. شما باید کلمه عبوری را انتخاب کنید که علاوه بر داشتن پیچیدگی و طول کافی، امکان به خاطرسپاری آن نیز آسان باشد. یادتان باشد که کلمه عبور هیچ وقت نوشته نمی شود، بلکه به خاطر سپرده می شود.

۴. ایجاد اجبار در تغییر دوره‌ای کلمه های عبور، باعث ایجاد امنیت بیشتر می شود.

حقیقت: این کار ممکن است احتمال انتخاب کلمه های عبور ضعیف توسط کاربران را نیز بالاتر ببرد. تا چندی پیش روال الزامی تغییر کلمه عبور، یکی از قوانین امنیتی اصلی در بسیاری از شرکت ها و سازمان‌ها به حساب می‌آمد. حتی برخی شرکت‌ها مدت زمان مشخصی را برای اعتبار رمز عبور کاربران مشخص می‌کردند تا اجازه ندهند آنها همچنان از کلمه های عبور قبلی استفاده کرده تا بتوانند جلوی استفاده مجدد از گذرواژه‌های قبلی را بگیرند. همچنین یک حداقلی را نیز برای کاراکترهایی که باید تغییر می‌کردند تعیین کرده تا مطمئن شوند که یک کلمه عبور جدید به میزان کافی با گذرواژه قبلی «متفاوت» است.

قوانین امنیتی برای انتخاب کلمه های عبور باید پیچیدگی خیلی زیادی نداشته باشند چرا که سخت‌تر کردن این قوانین باعث سخت تر شدن انجام کارها توسط کاربران شده و به این ترتیب هزینه‌های مدیریتی و پشتیبانی برای پیاده‌سازی و اجرایی کردن آن قوانین نیز افزایش می یابد. در حالی که تغییر رمز عبور به صورت مستمر هم ایده خوبی به نظر می‌رسد اما به خاطر آوردن آخرین رمز عبور برای بعضی از کاربران نیز دشوار است. بنابراین واکنش آنها استفاده مجدد از گذرواژه‌های قبلی یا ساخت الگوهایی است که حدس زدن آنها راحت باشد (تغییر رمز عبور از Password1 به Password12، Password123 و غیره نمونه‌ای از چنین الگوهایی هستند).

منبع: فراست