مراقب رمز عبور خود باشید!

 
امنیت رمز عبور
امنیت رمز عبور

امروزه، جنبه های مختلف بهره گیری از اینترنت و شبکه های اجتماعی باعث شده است تا روش های ارتباطی متحول شده و مکاتبات و مراوداتِ سنتی جای خود را به ابزار های الکترونیکی بدهند تا مدت زمان مورد نیاز برای دریافت یک نامه، فقط چند ثانیه باشد پیدایش خدمات الکترونیکی، به موازات مزایایشان خطراتی را نیز به دنبال داشته اند که مهمترین آنها تهدیدات امنیتی بر علیه اطلاعات کاربران رایانه ای است. اطلاعاتی که گاه ارزش آنها قابل محاسبه نبوده و تخریب یا به سرقت رفتن آنها عواقب سنگینی را به دنبال خواهد داشت.

مهندسی اجتماعی

فرض کنید رایانه قربانی از لحاظ جغرافیایی در محلی دیگر واقع شده و هیچ دسترسی به رایانه قربانی وجود ندارد. وقتی که دیگر هیچگونه دسترسی به رایانه قربانی وجود ندارد، بیشتر از مسائل فنی، مهندسی اجتماعی است که می تواند هکر را در فریب دادن قربانی کمک کند. پس در نتیجه، جاسوسی از طریق اینترنت بیش از هر چیز متکی بر فریب است. مثلا شاید باورنکردنی باشد که در برخی موارد مشاهده شده که هکر پس از برقراری ارتباط تلفنی با محل کار قربانی توانسته باشد اطلاعات قابل توجهی از جمله رمز عبور وی را به دست آورد. یا حتی با معرفی خود به عنوان نماینده شرکت پشتیبانی کننده نرم افزار و به بهانه ی گم شدن رمز سرور، توانسته است رمز را به صورت تلفنی بپرسد.

حتی دیده شده است که برخی مواقع نیازی به هک کردن نبوده است و صرفاً با اطلاع از رمزهای پیش فرض بعضی از نرم افزار ها و سخت افزار ها امکان دسترسی به آنها مهیا بوده است. (از جمله برخی از این رمزهای پیش فرض می توان به admin، 1111، 123456 و …اشاره نمود.

کشف رمز

 امنیت رمز عبور
امنیت رمز عبور

امروزه کمتر برنامه نویسانی هستند که در برنامه هایشان رمز عبور کاربران را قبل از ارسال در شبکه تبدیل به کد نکنند (یا اصطلاحا آنها را HASH می کنند). بنابراین اغلب رمزهایی که توسط کاربران در شبکه های محلی مورد استفاده قرار می گیرند، هَش شده هستند و این موضوع کشف رمز را برای هکرها دشوار می کند. منظور از HASH این است که Password توسط یک الگوریتم غیر قابل بازیابی (یکطرفه) تبدیل به رشته های کاراکتری غیر قابل فهم شده است. یعنی مثلا اگر رمز شما alireza باشد، ممکن است کلمه ای که به عنوان رمز شما در شبکه ارسال می شود مانند زیر باشد:

DwabszzFdvgYubv با فرض اینکه هکر بفهمد عبارتِ DwabszzFdvgYubv مربوط به هَش کلمه رمز قربانی است باز هم نمی تواند متوجه شود که رمز قربانی alireza بوده است (مفهوم الگوریتم یکطرفه ی غیرقابل بازیابی). اما برخی از نرم افزارها به هکر این امکان را می دهند تا بتواند با استفاده از دو روش Attack Dictionary و Attack Force Brute، کلمه ی رمز قربانی را کشف کند:

Dictionary Attack

مبنای این روش، یک فایل متنی معروف به نام Dictionary Password است. این فایل حاوی کلیه ی کلمات معنا داری است که ممکن است به عنوان رمز مورد استفاده قرار گیرند. همچنین کلماتِ عبور پُرکاربرد نظیر”1234567 “یا “ali1234” نیز در این فایل وجود دارد. حتی هکر این امکان را دارد که بتواند فایل را ویرایش کرده و کلمات جدیدی را نیز به آن اضافه نماید. نرم افزار با سرعت زیاد، هَش مربوط به هر یک از کلمات موجود در فایل دیکشنری را با هَش به دست آمده از قربانی مقایسه می کند تا متوجه شود Hash، مربوط به کدام کلمه بوده است و در نتیجه Password را بیابد. معمولا اگر قربانی اصول انتخاب رمز عبور را رعایت نکرده باشد، هکر از این طریق به نتیجه خواهد رسید. در غیر اینصورت مجبور است روش Attack Force Brute را نیز امتحان کند.

یک نتیجه مهم: از این روش نتیجه می گیریم که نباید یک کلمه ی معنی دار یا پر کاربرد را به عنوان رمز مورد استفاده قرار دهیم.

Brute Force Attack

اگرچه امکان کشف رمز در این روش حتمی است اما ممکن است پروسه ی کشف رمز، ماه ها طول بکشد. روش کار به این صورت است که ابتدا طول احتمالی Password مشخص شده و کاراکترهای احتمالی تشکیل دهنده پسورد تعیین می شوند. یعنی مثلا تعیین می کنیم:

  • حداکثر طول احتمالی پسورد : 4 کاراکتر
  • کاراکتر های تشکیل دهنده پسورد : فقط اعداد

سپس نرم افزار شروع به ایجاد کلماتی می کند که حداکثر طول آنها 4 کاراکتر بوده و از اعداد تشکیل شده باشند و هش آنها را با هش به دست آمده از قربانی مقایسه می کند تا به نتیجه برسد :

0

1

2

.

.

.

00

01

02

.

.

.

9999

اگر موفق به یافتن رمز عبور نشد، هکر مجبور خواهد بود تا دامنه ی کاراکترهای تشکیل دهنده پسورد را گسترده تر نموده و حداکثر تعداد کاراکترهای پسورد را نیز بیشتر کند. یعنی به عنوان مثال :

  • حداکثر طول احتمالی پسورد: 14 کاراکتر
  • کاراکتر های تشکیل دهنده پسورد: اعداد + عالمت ها + حروف کوچک + حروف بزرگ + space

0

1

.

.

.

Z034dfr@1

.

.

.

در نتیجه رسیدن به نتیجه ممکن است ماه ها و شاید هم سال ها طول بکشد.

یک نتیجه مهم: از این روش نتیجه می گیریم که:

  • اولا: رمز عبور انتخابی طولانی باشد.
  • ثانیاً: در ترکیب رمز عبور از اعداد، حروف کوچک، حروف بزرگ، عالمت ها و همچنین Space استفاده کنیم.
  • ثالثا ً: در فاصله ی هر یک ماه نسبت به تغییر کلمه ی رمز اقدام کنیم و ترجیحاً از رمزهای قبلی در هنگام تغییر رمز استفاده نکنیم.

چگونه می توانیم رمزی مطمئن را به خاطر بسپاریم؟ معموالا کاربران رمزهای ساده را به رمزهای نسبتاً سخت ترجیح می دهند. دو حالت زیر را در نظر بگیرید:

  • حالت اول : رمزی ساده انتخاب کرده اید و دیگران آن را حدس زده اند.
  • حالت دوم : رمزی سخت انتخاب کرده اید و آن را فراموش نموده اید.

سوال: حال کدام یک خطرناکتر است؟ در هر دو حالت شما مجبور به تغییر رمز عبور خواهید بود اما در حالت اول، سوء استفاده از رمز شما صورت می گیرد ولی در حالت دوم خیر. البته باید به خاطر داشته باشیم که در برخی موارد مانند رمز گذاشتن بر روی فایل ها، در صورت فراموش نمودن رمز، امکان بازیابی رمز قبلی یا تعیین رمز جدید امکان پذیر نخواهد بود. اگر چه بهتر است رمزهایتان را در یک مکان مطمئن که شخص دیگری به آن دسترسی نداشته باشد یادداشت کنید که در صورت فراموش نمودن آن، با مشکل روبرو نشوید. البته بهتر است رمزتان را هم به صورت رمزی بنویسید تا فقط خودتان متوجه منظور آن نوشته شوید!

چگونه رمزهای طولانی را به خاطر بسپاریم؟

به خاطر سپردن رمز عبور
به خاطر سپردن رمز عبور

برای افزایش طول رمز می توانید از جمالتی که به خاطر سپردن آنها برایتان سخت نباشد نیز استفاده کنید.

1-این جمالت می توانند به زبان فارسی باشند که به صورت انگلیسی وارد سیستم می کنید. در این حالت، زبان صفحه کلید شما انگلیسی است اما شما جملات را به صورت فارسی وارد می کنید. مثلا اگر جمله “امنیت برای همه” را وارد کنید، در واقع کلمه ی رمز شما اینچنین است: “ili fvhd hlkdj”. برای ایمنی بیشتر الزم است، کاراکتر های جمله را کم و زیاد کرده یا آنها را با اعداد و علامت های مشابه جایگزین کنید.

مثلابه جای “الف” عدد 3 را جایگزین کنید یا به جای “م”، @ بگذارید و حرف “ب” را با حروف بزرگ تایپ کنید که در اینصورت کلمه ی رمز شما “i@i Fv4d 4lkdj “خواهد بود که ویژگی های یک کلمه ی رمز خوب را نیز دارد.

2-در صورتی که مجبور هستید با رایانه ها و یا صفحه کلید های مختلفی کار کنید شاید نتوانید از روش قبلی استفاده کنید. چون امکان دارد جای کلید های مربوط به حروف مختلف در صفحه کلید های گوناگون، متفاوت باشد. در اینصورت می توانید از جملات فینگیلیش(فارسی-انگلیسی) استفاده کنید. برای به خاطر سپردن یک رمز طولانی بهتر اسبت که آن را در ذهن خود تبدیل به کد کنیم.

مثلا: جمله “Ma Baraye Imeni” را به این ترتیب در ذهنمان کد کرده و به عنوان کلمه رمز استفاده می کنیم:

Imeni = eemEny

4 =(معادل انگلیسی کلمه “برای”) Baraye=for

@Ma=m

حال کلمه رمز عبور ما اینچنین است:

@eemEny4m

منبع: تهدید در فضای مجازی؛ سید پاشا ناصر آبادی؛ نسخه الکترونیکی-اختصاصی “رایانه کمک”

پیشنهاد پرولاین: در صورت تمایل می توانید کتاب مورد نظر را از لینک زیر دانلود نموده و از مطالب مفید و تخصصی آن بهره ببرید.

لینک دانلود

من کارشناس دیجیتال مارکتینگ شرکت پرولاین هستم. هدف مجموعه ما ایجاد تغییر بنیادی در حوزه امنیت کاربران خانگی و سازمانی است و ما در تلاشیم تا نحوه فروش خود را با روش های نوین بازاریابی دیجیتال تغییر دهیم. مشتریان ما بایستی کاربران نهایی باشند و ما در تلاشیم تا واسطه های میان خود و مشتری را حذف کنیم.

پاسخ دهید

Time limit is exhausted. Please reload the CAPTCHA.

سبد خرید شما خالیست!