اکثر ما از شبکههای اجتماعی استفاده می کنیم و میتوانیم با قطعیت بگوییم که ورود به حساب کاربری ما شامل اطلاعاتی از جمله نام کاربری و رمز عبورمان میشود. با در نظر داشتن این موضوع که نام کاربری برای همه مشخص میباشد، تنها فاکتوری که از دسترسی سایرین به حساب کاربری ما جلوگیری میکند رمز عبور خواهد بود. پس اگر بخوایم از اطلاعاتی که در صفحه تنظیمات، پیامهای دایرکت یا آرشیو پستها وجود دارند محافظت کنیم، بایستی تا جای ممکن دسترسی به حساب کاربری را برای سایرین دشوار سازیم تا بتوانیم بر هزینه تلاش بمنظور دستیابی به آن بیافزاییم.
به همه ما گفته شده که رمز کارت عابربانکمون را برای سایرین بازگو نکرده و هر از گاهی آنرا تغییر دهیم. دلیل توجه بیشتر ما به نکات امنیتی پیرامون کارت عابربانک و فعال کردن رمز پویا اهمیتی است که ما برای اندوختههامون قائل میشویم. حال اگر حساب کاربریمان شامل مجموعه کاملی از دستاوردها و خاطراتمان در طول سالهایی باشد که از آن شبکه اجتماعی استفاده میکردیم، آیا میتوان به حساب کاربریمان در شبکههای اجتماعی هم به چشم اندوخته نگاه کرد؟ اگر نزدیکان یا علاقمندان به فعالیتهای اقتصادی یا هنری ما از طریق حساب کاربری شبکههای اجتماعیمان با ما در ارتباط باشند چطور؟
ما انسانها بطور غریزی تلاش میکنیم تا از پیچیدگی در امور روزمره خود جلوگیری کنیم که این رویکرد سبب میشود تا رمزهای عبور مورد استفاده برای حسابهای کاربریمان هم ساده باشند. یکی از مضحکترین مثالهایی که در این مورد میتوان بدان اشاره کرد، رمز شلیک موشکهای هستهای ایالات متحده طی دوران جنگ سرد میباشد که تنها شامل هشت رقم صفر میشد. اگر بخواهیم در حفظ امنیت حساب کاربریمان دقت بیشتری داشته باشیم، انتخاب رمز عبور مناسب و حفاظت از آن با هدف افشا نشدنش میتواند راهکاری هوشمندانه جلوه کند.
در مثال کارت عابر بانک، میتوان اینگونه انتظار داشت که افراد از نوشتن رمز پشت کارت خود خودداری نموده و در زمان انتخاب آن نیز از چهار رقم یکتا استفاده ننمایند. اگر این راهکار را در انتخاب رمز عبور حساب کاربریمان هم بکار ببریم، نباید رمز عبورمان شامل عبارات مشخصی مثل password یا ۱۲۳۴۵۶ باشد. این بدان معنیست که رمز عبورمان باید پیچیدهتر باشد تا کسی قادر به حدس زدن آن نباشد، اما کماکان پس از آخرین آمار بدست آمده از میان اطلاعات هک شده بیش از ده درصد رمزهای عبور دنیا را بیست عبارت ساده تشکیل میدهند.
برگردیم به مثال کارت عابر بانک و به این نکته اشاره کنیم که چطور اگر دو یا چند کارت عابر بانک داریم، برای هر کدام رمزی متفاوت انتخاب میکنیم. این امکان هست که ما اینکار را با این هدف انجام بدهیم تا اگر کسی به رمز یکی از کارتهایمان دست پیدا کرد قادر به بهرهبرداری از تمامی کارتهایی که داریم نشود. پس اگر رمز عبور مناسبی را برای حساب کاربری ایسنتاگرام خود انتخاب کردیم، باید تلاش کنیم که در هر وبسایت یا شبکه اجتماعی دیگری که میرویم رمز عبور متفاوتی استفاده کنیم تا در صورت فاش شدن رمز عبورمان در یک شبکه اجتماعی، سایر حسابهای کاربریمان در امان باشند.
مسائلی که در بالا مطرح شد بر همگان مبرهن میباشد، ولی جالب است بدانید که بر اساس آمار بدست آمده تخمین زده میشود که حدود سی درصد افراد رمز عبور مشابهی را برای تمام حسابهای کاربریشان بکار میگیرند. پس از ایشان کاربرانی قرار دارند که از دو رمز متفاوت برای تمامی حسابهای کابریشان بهره میبردند و حدود شصت درصد حسابهای کاربری دنیا را تشکیل میدادند. حال وبسایتهایی نظیر HaveiBeenPWNed میتوانند پیرامون اینکه آیا رمز عبور شما بواسطه حملات سایبری به خطر افتاده است یا خیر آگاه نماید تا نسبت به تعویض آنها اقدام کنید.
حال بیایید فرض کنیم فردی که با امضای شما آشناست بتواند به کیف شما دست پیدا کرده و بهمراه کارت شماسایی معتبر با مراجعه به بانک، نسبت به صدور کارت عابر بانک جدیدی اقدام نماید. شاید عنوان کنید که کارت ملی شامل تصویر واضحی از ماست تا شانس سوء استفاده از آن از بین برود، اما تصویر کارت شناسایی ملی با خود واقعی ما سنخیت چندانی ندارد. با بسط دادن این مثال به شبکههای اجتماعی، راهکارهایی برای بازیابی رمزهای عبور فراموش شده را مییابیم که میتواند امنیت حساب کاربریمان را بطور مشابهی به خطر بیاندازند.
یکی از این راهکارها پاسخ دادن به سوالهایی از پیش تعیین شده است که پاسخ به آنها تنها توسط خود شخص یا افراد نزدیک به وی ممکن باشند. لیکن با توجه به اینکه امروزه خصوصیترین جزئیات زندگیمان در شبکههای اجتماعی در دسترس همگان قرار دارد، پیدا کردن پاسخ به خصوصیترین سوالات بسیار آسانتر از پیش میباشد. برای جلوگیری از سوء استفاده سایرین بهتر است که پاسخ به این سوالات را هم بمانند رمز عبور جدی بگیریم. نمونهای از هک شدن حساب کاربری بوسیله پاسخ دادن به سوالات امنیتی هم خانم سارا پیلین (Sarah Palin) هستند که بعنوان فرماندار ایالت آلاسکا، گزارشگر و نویسنده به نوبه خود سلبریتی محسوب شده و اطلاعات خصوصیشان آشکارا در گردش بود.
با فرض اینکه بتوانیم همه فاکتورهایی که تا کنون بدانها اشاره شد را رعایت کنیم، این مسئله مطرح میشود که آیا میتوانیم همه رمزهای عبور و پاسخهامان به سوالهای امنیتی را بخاطر بسپاریم یا خیر؟ اگر رمزهای عبورمان را به نحوی رمز گذاری کنیم که بخاطر سپردنشان آسانتر باشد، آیا این شانس فاش شدن آنها بیشتر نخواهد شد؟ اگر رمزهای عبورمان را جایی یادداشت کرده باشیم چطور؟ بر اساس آخرین آمار بدست آمده، تخمین زده میشود که حدود چهل درصد از سازمانها پسورد حساب کاربری مدیریت را در قالب یک فایل ورد یا اکسل روی کامپیوتری مشخص ذخیره میکنند.
شاید بد نباشد که برای تولید یک رمز عبور مطمئن یا ذخیره اون در جایی امنتر از یک سرویس دهنده آنلاین استفاده کنیم. سرویس مدیریت پسورد از جمله خدماتی هستند که میتوانند به شما در تولید، ذخیره و حتی وارد کردن خودکار رمز عبور کمک کرده و شانس فاش شدن رمز در زمان ورود آن را نیز کاهش دهند. از جمله محبوبترین این سرویسها میتوان به LastPass، DashLane و 1Passwordبرای مصارف روزمره و BitWarden و Keeper با هدف افزایش امنیت سازمانها و ادارات نام برد.
حال اگر وبسایت یا شبکه اجتماعیای که از آن استفاده میکنیم مورد حمله قرار گرفت و ما فرصتی برای تغییر رمز عبورمان پیدا نکردیم چه میتوان کرد؟ برای جلوگیری از بخطر افتادن حسابهای کاربری در این موارد، اکثر وبسایتها امکان استفاده از راهکاری مشابه رمز پویای کارت عابر بانک فراهم میآورند. لازمه استفاده از این راهکار ارائه شماره تلفن همراه بمنظور دریافت تماس یا پیامی حاوی رمز عبور موقت یا استفاده از نرمافزارهایی مختص به تولید رمز دوم پویا میباشد. دریافت رمز عبور بواسطه استفاده از شماره تلفن همراه و یا اپلیکیشنهای تولید رمز تا حدی وجود گوشی هوشمند را ضرورت بخشیده که گوگل و فیسبوک با ارائه سرویسی در قالب نرمافزارهای موبایل خود، ورود به حساب کاربری را منوط به تایید شما از طریق گوشی تلفن همراه میکنند.
حال اگر به شبکههای مخابراتی مشکوک هستیم و نمیخواهیم رمز پویای خود را بواسطه پیامک دریافت کنیم، کماکان قادر خواهیم بود تا از اپلیکیشنهایی بمانند Google Authenticator یا Microsoft Authenticator با حداقل ریسک برای تولید رمز دوم پویا استفاده کرده و یا حتی سرویسهایی ابری بمانند LastPass Authenticator یا Authy را برای نگاهداری از اطلاعات مرتبط با تولید رمز دوممان بکار بگیریم. توجه داشته باشید که در زمان فعال سازی خدمات تولید رمز پویا بصورت آفلاین، تعدادی رمز برای بازیابی حساب کاربری به شما داده میشوند که با حفاظت از آنها در مکانی امن، شانس بازماندن از ورود به حساب کاربری حتی پس از بسرقت رفتن گوشی خود را نیز خواهید داشت.
برگردیم به مثال کارت بانکی که در آن سعی داشتیم با رعایت نکات امنیتی از اندوختههامون محافظت کنیم. حال فرض کنید که شما وکیلی متخصص امور بازرگانی را برای پرداختن به تمامی امور مالی زندگیتان استخدام کنید، تا دیگر دغدغه بررسی گردش حساب و یا تهیه ارزاق عمومی منزل را در دل نداشته باشید. این رویکرد بعنوان استانداردی در اینترنت تعریف شده است که بواسطه آن شما فرصت پیدا میکنید تا با حساب کاربری گوگل یا فیسبوک خود وارد حساب کاربری در سایر وبسایتها بشوید. در اینصورت شما دیگر نیازی به تولید رمز عبور با پیروی از الگوهای مشخص و یا ذخیره آن در شرکتهایی فاقد انگیزه مالی کافی برای محافظت از آنها نخواهید بود.
برتری این شیوه به ساختار قدیمیتری که در آن رمز عبور بکار بسته میشد، برداشته شدن فشار محافظت از اطلاعات امنیتی شما از روی دوش وبسایتهای خورده پاییست که توانایی استخدام تیم امنیتی برای افزایش امنیت وبسایت یا خدمات خود را ندارند. در حقیقت مدیریت امنیت شما بر عهده کمپانیهای بزرگی چون گوگل یا فیسبوک خواهد بود که توانایی و انگیزه بالایی برای حفاظت از آنها بمنظور حفظ اعتبار برند خود خواهند داشت. همچنین تخمین زده میشود که تا پایان سال ۲۰۲۰ هر فرد بصورت میانگین دارای بیش از ۲۰۰ حساب کاربری در سرتاسر اینترنت باشد که حفظ امنیت تمامی حسابهای کاربری را برای هر گروهی به یک چالش تبدیل و اهمیت وجود راهکارهایی همچون OAuth را چندین برابر مینماید.
اگر تا کنون با بنگاهها یا صرافیها سروکار پیدا کرده باشید با مفهوم استفاده از توکن سخت افزاری برای انتقال مبالغ بالای پول بین حسابها آشنایی دارید. گوگل نیز تحت عنوان کلید امنیتی این فرصت را برای خبرنگاران و سایر افرادیکه دلواپس امنیت حسابهای کاربری خودشان هستند فراهم آورده تا با استفاده از دانگلهای USB، بلوتوث یا حتی موبایل خود بتوانند گونهای از ورود دو مرحلهای را بصورت فیزیکی بکار بگیرند. استفاده از این راهکار در حال حاضر محدود به مرورگرهای خاصی میشود، لیکن با توجه به اهمیت امنیت حساب کاربری گوگل برای فعالین سیاسی و اجتماعی، بکار بستن این متد میتواند امنیت سایبری شما را تا سطوحی فراتر از آنچه سالها پیش قابل تصور بود، بالا ببرد.
منابع:
وبسایت گروه امنیتی مکآفی
وبلاگ کمپانی موزیلا
وبسایت گروه امنیتی ای وی جی
وبلاگ گروه مدیریت رمز عبور