Masoud Rostamian
Masoud Rostamian
خواندن ۱۱ دقیقه·۵ سال پیش

رمز عبور و آینده امنیت حساب‌های کاربری

اکثر ما از شبکه‌های اجتماعی استفاده می کنیم و می‌توانیم با قطعیت بگوییم که ورود به حساب کاربری ما شامل اطلاعاتی از جمله نام کاربری و رمز عبورمان می‌شود. با در نظر داشتن این موضوع که نام کاربری برای همه مشخص می‌باشد، تنها فاکتوری که از دسترسی سایرین به حساب کاربری ما جلوگیری می‌کند رمز عبور خواهد بود. پس اگر بخوایم از اطلاعاتی که در صفحه تنظیمات، پیام‌های دایرکت یا آرشیو پست‌ها وجود دارند محافظت کنیم، بایستی تا جای ممکن دسترسی به حساب کاربری را برای سایرین دشوار سازیم تا بتوانیم بر هزینه تلاش بمنظور دستیابی به آن بیافزاییم.

به همه ما گفته شده که رمز کارت عابربانکمون را برای سایرین بازگو نکرده و هر از گاهی آنرا تغییر دهیم. دلیل توجه بیشتر ما به نکات امنیتی پیرامون کارت عابربانک و فعال کردن رمز پویا اهمیتی است که ما برای اندوخته‌هامون قائل می‌شویم. حال اگر حساب کاربریمان شامل مجموعه کاملی از دستاورد‌ها و خاطراتمان در طول سال‌هایی باشد که از آن شبکه اجتماعی استفاده می‌کردیم، آیا می‌توان به حساب کاربریمان در شبکه‌های اجتماعی هم به چشم اندوخته نگاه کرد؟ اگر نزدیکان یا علاقمندان به فعالیت‌های اقتصادی یا هنری ما از طریق حساب کاربری شبکه‌های اجتماعیمان با ما در ارتباط باشند چطور؟

انتخاب عبارات پیچیده بعنوان رمز عبور

ما انسان‌ها بطور غریزی تلاش میکنیم تا از پیچیدگی در امور روزمره خود جلوگیری کنیم که این رویکرد سبب می‌شود تا رمز‌های عبور مورد استفاده برای حساب‌های کاربریمان هم ساده باشند. یکی از مضحک‌ترین مثال‌هایی که در این مورد می‌توان بدان اشاره کرد، رمز شلیک موشک‌های هسته‌ای ایالات متحده طی دوران جنگ سرد می‌باشد که تنها شامل هشت رقم صفر می‌شد. اگر بخواهیم در حفظ امنیت حساب کاربریمان دقت بیشتری داشته باشیم، انتخاب رمز عبور مناسب و حفاظت از آن با هدف افشا نشدنش می‌تواند راهکاری هوشمندانه جلوه کند.

ساخت رمزعبور امن بوسیله جستجوگر اینترنتی داک‌داک‌گو
ساخت رمزعبور امن بوسیله جستجوگر اینترنتی داک‌داک‌گو

در مثال کارت عابر بانک، می‌توان اینگونه انتظار داشت که افراد از نوشتن رمز پشت کارت خود خودداری نموده و در زمان انتخاب آن نیز از چهار رقم یکتا استفاده ننمایند. اگر این راهکار را در انتخاب رمز عبور حساب کاربریمان هم بکار ببریم، نباید رمز عبورمان شامل عبارات مشخصی مثل password یا ۱۲۳۴۵۶ باشد. این بدان معنیست که رمز عبورمان باید پیچیده‌تر باشد تا کسی قادر به حدس زدن آن نباشد، اما کماکان پس از آخرین آمار بدست آمده از میان اطلاعات هک شده بیش از ده درصد رمز‌های عبور دنیا را بیست عبارت ساده تشکیل می‌دهند.

انتخاب رمز عبور متفاوت برای هر وبسایت

برگردیم به مثال کارت عابر بانک و به این نکته اشاره کنیم که چطور اگر دو یا چند کارت عابر بانک داریم، برای هر کدام رمزی متفاوت انتخاب می‌کنیم. این امکان هست که ما اینکار را با این هدف انجام بدهیم تا اگر کسی به رمز یکی از کارت‌هایمان دست پیدا کرد قادر به بهره‌برداری از تمامی کارت‌هایی که داریم نشود. پس اگر رمز عبور مناسبی را برای حساب کاربری ایسنتاگرام خود انتخاب کردیم، باید تلاش کنیم که در هر وبسایت یا شبکه اجتماعی دیگری که میرویم رمز عبور متفاوتی استفاده کنیم تا در صورت فاش شدن رمز عبورمان در یک شبکه اجتماعی، سایر حساب‌های کاربریمان در امان باشند.

حملات سایبری معروف به Credential Stuffing از تکرار رمزعبور کاربران سوءاستفاده می‌کنند.
حملات سایبری معروف به Credential Stuffing از تکرار رمزعبور کاربران سوءاستفاده می‌کنند.

مسائلی که در بالا مطرح شد بر همگان مبرهن می‌باشد، ولی جالب است بدانید که بر اساس آمار بدست آمده تخمین زده می‌شود که حدود سی درصد افراد رمز عبور مشابهی را برای تمام حساب‌های کاربریشان بکار می‌گیرند. پس از ایشان کاربرانی قرار دارند که از دو رمز متفاوت برای تمامی حساب‌های کابریشان بهره می‌بردند و حدود شصت درصد حساب‌های کاربری دنیا را تشکیل می‌دادند. حال وبسایت‌هایی نظیر HaveiBeenPWNed می‌توانند پیرامون اینکه آیا رمز عبور شما بواسطه حملات سایبری به خطر افتاده است یا خیر آگاه نماید تا نسبت به تعویض آنها اقدام کنید.

پاسخ به سوال‌های امنیتی بازیابی رمز عبور

حال بیایید فرض کنیم فردی که با امضای شما آشناست بتواند به کیف شما دست پیدا کرده و بهمراه کارت شماسایی معتبر با مراجعه به بانک، نسبت به صدور کارت عابر بانک جدیدی اقدام نماید. شاید عنوان کنید که کارت ملی شامل تصویر واضحی از ماست تا شانس سوء استفاده از آن از بین برود، اما تصویر کارت شناسایی ملی با خود واقعی ما سنخیت چندانی ندارد. با بسط دادن این مثال به شبکه‌های اجتماعی، راهکار‌هایی برای بازیابی رمز‌های عبور فراموش شده را می‌یابیم که می‌تواند امنیت حساب کاربریمان را بطور مشابهی به خطر بیاندازند.

کوچکترین جزئیات زندگی خصوصی شما توسط خود یا دوستانتان در شبکه‌های اجتماعی منتشر می‌شود.
کوچکترین جزئیات زندگی خصوصی شما توسط خود یا دوستانتان در شبکه‌های اجتماعی منتشر می‌شود.

یکی از این راهکار‌ها پاسخ دادن به سوال‌هایی از پیش تعیین شده است که پاسخ به آنها تنها توسط خود شخص یا افراد نزدیک به وی ممکن باشند. لیکن با توجه به اینکه امروزه خصوصی‌ترین جزئیات زندگیمان در شبکه‌های اجتماعی در دسترس همگان قرار دارد، پیدا کردن پاسخ به خصوصی‌ترین سوالات بسیار آسانتر از پیش می‌باشد. برای جلوگیری از سوء استفاده سایرین بهتر است که پاسخ به این سوالات را هم بمانند رمز عبور جدی بگیریم. نمونه‌ای از هک شدن حساب کاربری بوسیله پاسخ دادن به سوالات امنیتی هم خانم سارا پیلین (Sarah Palin) هستند که بعنوان فرماندار ایالت آلاسکا، گزارشگر و نویسنده به نوبه خود سلبریتی محسوب شده و اطلاعات خصوصیشان آشکارا در گردش بود.

حفاظت از رمز عبور

با فرض اینکه بتوانیم همه فاکتور‌هایی که تا کنون بدانها اشاره شد را رعایت کنیم، این مسئله مطرح می‌شود که آیا می‌توانیم همه رمز‌های عبور و پاسخ‌هامان به سوال‌های امنیتی را بخاطر بسپاریم یا خیر؟ اگر رمز‌های عبورمان را به نحوی رمز گذاری کنیم که بخاطر سپردنشان آسانتر باشد، آیا این شانس فاش شدن آنها بیشتر نخواهد شد؟ اگر رمزهای عبورمان را جایی یادداشت کرده باشیم چطور؟ بر اساس آخرین آمار بدست آمده، تخمین زده می‌شود که حدود چهل درصد از سازمان‌ها پسورد حساب کاربری مدیریت را در قالب یک فایل ورد یا اکسل روی کامپیوتری مشخص ذخیره می‌کنند.

بسیاری از مدیران رده بالای ادارات هنوز رمز عبور خود را بصورت فیزیکی نگهداری میکنند.
بسیاری از مدیران رده بالای ادارات هنوز رمز عبور خود را بصورت فیزیکی نگهداری میکنند.

شاید بد نباشد که برای تولید یک رمز عبور مطمئن یا ذخیره اون در جایی امن‌تر از یک سرویس دهنده آنلاین استفاده کنیم. سرویس مدیریت پسورد از جمله خدماتی هستند که می‌توانند به شما در تولید، ذخیره و حتی وارد کردن خودکار رمز عبور کمک کرده و شانس فاش شدن رمز در زمان ورود آن را نیز کاهش دهند. از جمله محبوب‌ترین این سرویس‌ها می‌توان به LastPass، DashLane و 1Passwordبرای مصارف روزمره و BitWarden و Keeper با هدف افزایش امنیت سازمان‌ها و ادارات نام برد.

ورود دو مرحله‌ای با رمز یکبار مصرف پویا

حال اگر وبسایت یا شبکه اجتماعی‌ای که از آن استفاده می‌کنیم مورد حمله قرار گرفت و ما فرصتی برای تغییر رمز عبورمان پیدا نکردیم چه می‌توان کرد؟ برای جلوگیری از بخطر افتادن حساب‌های کاربری در این موارد، اکثر وبسایت‌ها امکان استفاده از راهکاری مشابه رمز پویای کارت عابر بانک فراهم می‌آورند. لازمه استفاده از این راهکار ارائه شماره تلفن همراه بمنظور دریافت تماس یا پیامی حاوی رمز عبور موقت یا استفاده از نرم‌افزار‌هایی مختص به تولید رمز دوم پویا می‌باشد. دریافت رمز عبور بواسطه استفاده از شماره تلفن همراه و یا اپلیکیشن‌های تولید رمز تا حدی وجود گوشی هوشمند را ضرورت بخشیده که گوگل و فیسبوک با ارائه سرویسی در قالب نرم‌افزار‌های موبایل خود، ورود به حساب کاربری را منوط به تایید شما از طریق گوشی تلفن همراه می‌کنند.

ارسال رمز پویا به شماره تلفن همراه افراد راهکار مرسومی است.
ارسال رمز پویا به شماره تلفن همراه افراد راهکار مرسومی است.

حال اگر به شبکه‌های مخابراتی مشکوک هستیم و نمی‌خواهیم رمز پویای خود را بواسطه پیامک دریافت کنیم، کماکان قادر خواهیم بود تا از اپلیکیشن‌هایی بمانند Google Authenticator یا Microsoft Authenticator با حداقل ریسک برای تولید رمز دوم پویا استفاده کرده و یا حتی سرویس‌هایی ابری بمانند LastPass Authenticator یا Authy را برای نگاهداری از اطلاعات مرتبط با تولید رمز دوممان بکار بگیریم. توجه داشته باشید که در زمان فعال سازی خدمات تولید رمز پویا بصورت آفلاین، تعدادی رمز برای بازیابی حساب کاربری به شما داده می‌شوند که با حفاظت از آنها در مکانی امن، شانس بازماندن از ورود به حساب کاربری حتی پس از بسرقت رفتن گوشی خود را نیز خواهید داشت.

استفاده از Open Authentication

برگردیم به مثال کارت بانکی که در آن سعی داشتیم با رعایت نکات امنیتی از اندوخته‌هامون محافظت کنیم. حال فرض کنید که شما وکیلی متخصص امور بازرگانی را برای پرداختن به تمامی امور مالی زندگیتان استخدام کنید، تا دیگر دغدغه بررسی گردش حساب و یا تهیه ارزاق عمومی منزل را در دل نداشته باشید. این رویکرد بعنوان استانداردی در اینترنت تعریف شده است که بواسطه آن شما فرصت پیدا می‌کنید تا با حساب کاربری گوگل یا فیسبوک خود وارد حساب کاربری در سایر وبسایت‌ها بشوید. در اینصورت شما دیگر نیازی به تولید رمز عبور با پیروی از الگو‌های مشخص و یا ذخیره آن در شرکت‌هایی فاقد انگیزه مالی کافی برای محافظت از آنها نخواهید بود.

ورود بدون استفاده از رمز عبور می‌تواند در مدیریت امنیت اطلاعات شما موثرتر واقع شود.
ورود بدون استفاده از رمز عبور می‌تواند در مدیریت امنیت اطلاعات شما موثرتر واقع شود.

برتری این شیوه به ساختار قدیمی‌تری که در آن رمز عبور بکار بسته میشد، برداشته شدن فشار محافظت از اطلاعات امنیتی شما از روی دوش وبسایت‌های خورده پاییست که توانایی استخدام تیم امنیتی برای افزایش امنیت وبسایت یا خدمات خود را ندارند. در حقیقت مدیریت امنیت شما بر عهده کمپانی‌های بزرگی چون گوگل یا فیسبوک خواهد بود که توانایی و انگیزه بالایی برای حفاظت از آنها بمنظور حفظ اعتبار برند خود خواهند داشت. همچنین تخمین زده می‌شود که تا پایان سال ۲۰۲۰ هر فرد بصورت میانگین دارای بیش از ۲۰۰ حساب کاربری در سرتاسر اینترنت باشد که حفظ امنیت تمامی حساب‌های کاربری را برای هر گروهی به یک چالش تبدیل و اهمیت وجود راهکار‌هایی همچون OAuth را چندین برابر می‌نماید.

استفاده از توکن سخت‌افزاری

اگر تا کنون با بنگاه‌ها یا صرافی‌ها سروکار پیدا کرده باشید با مفهوم استفاده از توکن سخت افزاری برای انتقال مبالغ بالای پول بین حساب‌ها آشنایی دارید. گوگل نیز تحت عنوان کلید امنیتی این فرصت را برای خبرنگاران و سایر افرادیکه دلواپس امنیت حساب‌های کاربری خودشان هستند فراهم آورده تا با استفاده از دانگل‌های USB، بلوتوث یا حتی موبایل خود بتوانند گونه‌ای از ورود دو مرحله‌ای را بصورت فیزیکی بکار بگیرند. استفاده از این راهکار در حال حاضر محدود به مرورگر‌های خاصی می‌شود، لیکن با توجه به اهمیت امنیت حساب کاربری گوگل برای فعالین سیاسی و اجتماعی، بکار بستن این متد می‌تواند امنیت سایبری شما را تا سطوحی فراتر از آنچه سال‌ها پیش قابل تصور بود، بالا ببرد.

در حال حاضر توکن‌های سخت‌افزاری بالاترین سطح امنیتی را فراهم می‌کنند.
در حال حاضر توکن‌های سخت‌افزاری بالاترین سطح امنیتی را فراهم می‌کنند.




منابع:
وبسایت گروه امنیتی مک‌آفی
وبلاگ کمپانی موزیلا
وبسایت گروه امنیتی ای وی جی
وبلاگ گروه مدیریت رمز عبور



رمزرمز دومرمز عبوررمز پویاامنیت
شاید از این پست‌ها خوشتان بیاید