به این چهار نکته توجه کنید تا هک نشوید!

جرایم سایبری باعث به وجود آمدن یک بازار چند میلیارد دلاری شده‌اند. به‌طوری که هم به سازمان‌ها و هم به افراد عادی صدمات جبران‌ناپذیری را وارد می‌کنند. اما اگر به این چند راه‌کار ساده توجه کنید، این توانایی را پیدا خواهید کرد که از خود در برابر این حملات محافظت به عمل آورید.

کایل لیدی محقق و مهندس توسعه در Duo Security در این ارتباط گفته است: «اگر شما یک هدف باشید که البته صادقانه بگویم، شرکت‌ها هدف اصلی هستند، با اتکا به یکسری اقدامات زیربنایی هم به خود و هم به شرکت مطبوع‌تان در این زمینه کمک‌های فراوانی خواهید کرد.» Tech Insider به تازگی گفتگویی با لیدی در این ارتباط انجام داده است. گفتگویی که دو محور اصلی در آن مورد توجه قرار گرفته‌اند. هکرها چگونه به سیستم‌ها نفوذ می‌کنند و چگونه می‌توان با رعایت چند توصیه ساده این مدل حملات را متوقف کرد. در ادامه توصیه‌های ارائه شده از سوی این کارشناس امنیتی را خواهیم خواند.

گذرواژه‌های ۱۴ کارکتری

گذرواژ‌های مورد استفاده توسط کاربران حداقل باید از ۱۴ کاراکتر تشکیل شده باشد. گذرواژه‌هایی که در لغت‌نامه‌ها نتوانید آن‌ها را پیدا کنید. اگر نگاهی به ۲۵ مورد از بدترین گذرواژه‌های سال ۲۰۱۵ داشته باشیم، به کلماتی همچون ۱۲۳۴۵۶، football و Password برخورد خواهیم کرد. گذرواژه‌هایی که به آسانی توسط یک هکر ممکن است حدس زده شوند. ما در این‌جا درباره یک هکر که سعی می‌کند، گذرواژه‌های مختلفی را مورد آزمایش قرار دهد، صحبت نمی‌کنیم، بلکه صحبت از نرم‌‌افزارهایی می‌کنیم که این توانایی را دارند تا در یک دقیقه صدها یا هزاران گذرواژه را حدس بزنند. در نتیجه بهتر است از گذرواژه‌هایی استفاده کنید که بیش از اندازه عجیب باشند. لیدی در این ارتباط گفته است: «اگر من بتوانم گذرواژه شما را در یک لغت‌نامه شناسایی کنم، در نتیجه یک هکر نیز توانایی انجام چنین کاری را خواهد داشت.» لیدی توصیه می‌کند از گذرواژه‌هایی استفاده کنید که حداقل طول آن‌ها ۱۴ کاراکتر باشد. (خودش از گذرواژه‌هایی با طول ۲۴ کاراکتر استفاده می‌کند.) گذرواژه‌هایی که از ترکیب حروف بزرگ و کوچک و سمبل‌ها ساخته شده است. یک گذرواژه پیچیده چیزی شبیه به Syd#2n3l_!4pss است؛ ترکیبی که معنای واقعی نداده و سمبل‌های مورد استفاده در آن یک هکر را گیج می‌کنند. در نتیجه به عنوان یک گذرواژه ایده‌آل به شمار می‌روند. از طرفی به کارگیری یک جمله شبیه به “this password security thing words” یک گذرواژه گمراه کننده برای یک هکر به شمار می‌رود. لیدی می‌گوید: «حدس زدن این چنین گذرواژه‌هایی برای یک هکر واقعا مشکل خواهد بود. شخصی که در نظر داشته باشد چنین گذرواژه‌هایی را بشکند باید زمان و منابع مختلف زیادی را بارها و بارها مورد آزمایش قرار داده تا بتواند فرضیه خود را آزمایش کند.» اما در طرف مقابل این چنین گذرواژه‌هایی برای کاربران مشکل‌ساز هستند، به دلیل این‌که به خاطرسپاری یک گذرواژه طولانی از کاراکترهای عجیب و غریب کار مشکلی خواهد بود. به کارگیری یک مدیر گذرواژه، شما را از حفظ کردن این چنین گذرواژه‌هایی بی نیاز می‌کند. یک مدیر گذرواژه شبیه به LastPass یا ۱Password به شیوه کاملا ایمن همه گذرواژه‌هایی که توسط سرویس‌های مختلف از ایمیل گرفته تا حساب بانکی را در یک مکان ذخیره می‌کند. در نتیجه حفظ کردن گذرواژه‌های مختلف ضرورتی نخواهد داشت.

لیدی به شدت توصیه می‌کند از گذرواژه‌های متعددی برای حساب‌های مختلف استفاده کنید. یک مدیر گذرواژه به شما این توانایی را می‌دهد تا به جای ساخت یک گذرواژه عجیب از سمبل‌های مختلف از این نرم‌افزارها در زمینه تولید گذرواژه‌های قدرتمند استفاده کنید. برنامه‌های مدیریت گذرواژه این توانایی را دارند تا گذرواژ‌های عجیب و پیچیده را تولید کرده و به صورت رمزنگاری شده در یک فایل قرار دهند. در نتیجه دیگر نیازی ندارید تا آن‌ها را در مکانی یادداشت کنید.

احرازهویت دو عاملی

فعالیت بدون احرازهویت دو عاملی باعث می‌شود، حتی اگر گذرواژه شما به سرقت رفت، همچنان حساب کاربری شما ایمن باشد. لیدی در این ارتباط گفته است: «اگر از مکانیزم احرازهویت دو عاملی استفاده کنید، حتی اگر از ضعیف‌ترین گذرواژه‌ها استفاده کنید دنیا به انتها نخواهد رسید.»

احرازهویت دو عاملی به آرامی به عنوان یک استاندارد امنیتی برای گذرواژه‌ها پذیرفته خواهد شد. با احرازهویت دو عاملی یک کاربر گذرواژه خود را وارد کرده و در مرحله دوم کدی را وارد می‌کند که آن‌را از طریق یک پیام متنی دریافت کرده است. در بیشتر سناریوها، زمانی‌که هکرها یک گذرواژه را می‌شکنند و به سد دریافت کد امنیتی برخورد می‌کنند از ادامه کار منصرف می‌شوند، به دلیل این‌که در این مرحله آن‌ها باید تلفن همراه شما را برای ادامه کار خود سرقت کنند. این ویژگی در حال تبدیل شدن به یک گزینه استاندارد است. اما بسیاری از مردم این ویژگی را فعال نمی‌کنند. لیدی در این ارتباط گفته است: «بسیاری از مردم در این مرحله سهل‌انگاری می‌کنند.» شما معمولا مکانیزم احراز هویت دو عاملی را در بخش تنظیمات حساب کاربری خود پیدا می‌کنید. این ویژگی اکنون در جی‌میل، توییتر، فیس‌بوک، اسنپ‌شات و ده‌ها سرویس دیگر در دسترس کاربران قرار دارد. تنها باید اطمینان حاصل کنید که فعال است. این سرویس‌ها در بیشتر موارد از شما سؤال می‌کنند که آیا این کد باید برای اسمارت‌فون ارسال شود یا حساب ایمیلی شما.

جلوگیری از فیشینگ

نزدیک به ۹۱ درصد حملات هکری بر پایه فیشینگ ایمیل انجام می‌شود. یک ترفند خاص و ظریف که برای هدف قرار دادن یک کاربر خاص طراحی می‌شوند. به‌طوری که او را مجبور می‌سازند روی یک لینک کلیک کرده، در ادامه گذرواژه خود را وارد کرده یا یک بدافزار را دانلود کند. این نوع ایمیل‌ها به گونه‌ای طراحی می‌شوند که واقعی به نظر می‌رسند. در نتیجه قضاوت در مورد آن‌ها در نگاه اول به سختی امکان‌پذیر است. یک کلاه‌بردار ممکن است ایمیلی برای شما ارسال کند مبنی بر این موضوع که حساب پی‌پال شما هک شده است و شما باید گذرواژه خود را به‌روزرسانی کنید. اما زمانی‌که روی لینک مربوطه کلیک می‌کنید، شما گذرواژه‌ خود را به او تقدیم خواهید کرد. در حالی که مشاهده می‌کنید، هیچ چیز تغییر پیدا نکرده است. لیدی در این ارتباط گفته است: «برای آن‌که‌ اطمینان حاصل کنید که یک صفحه معتبر و قانونی شبیه به Paypal.com و نه به یک سایت جعلی با آدرس www.paypalsecurity.xyz وارد شده‌اید باید به دقت به آدرس توجه کنید. اگر هرگونه شکی در این ارتباط پیدا کردید، ضروری است که موضوع را به دقت بررسی کنید.»

ضد مهندسی اجتماعی

همانند مشکل شماره سه، باید مراقب تماس‌های مشکوک باشید. هکرها اغلب با استفاده از مهندسی اجتماعی سعی می‌کنند شما را متقاعد سازند که قصد کمک کردن به شما را دارند. بنابراین مهم است که یک شک و تردید نسبت به تماس‌هایی داشته باشید که در آن ادعا می‌شود از نمایندگی خدمات مشتریان تماس گرفته‌اند و از شما گذرواژه‌تان را درخواست می‌کنند. تقریبا هیچ شرکتی در تماس تلفنی از شما درخواست نمی‌کند گذرواژه خود را برای او بازگو کنید. اگر چنین تماس‌‌هایی داشتید، باید مشکوک شوید.