اگر حال و حوصله خواندن این مطلب تقریبا بلند و باید را ندارید و به دنبال پاسخ بله یا خیر هستید، باید بگویم که پاسخ عنوان این مطلب نه است؛ یعنی آنکه شما دیگر نیازی نیست که رمز عبور حسابهایتان را به صورت مستمر (مثلا ۹۰ روز یکبار) تغییر دهید و به جای این کار بهتر است که خودتان را عادت به استفاده از نرمافزارهای مدیریت رمز عبور مانند LastPass و KeePass بدهید.
حالا که متوجه شدید که دیگر مانند گذشته نیازی نیست که رمز عبور حسابهای مختلف خود را تغییر دهید، بگذارید به دلایل این ادعا که شاید در نگاه اول دیوانهوار باشد، بپردازم؛ هر چند که قبل از آن بد نیست به این نکته اشاره کنم که در سالهای اخیر سازمانهای مختلفی تغییر دورهای رمز عبور را دیگر پیشنهاد نمیکنند – مانند گروه CESG که یکی از بخشهای ستاد ارتباطات دولت بریتانیا است – و همچنین تحقیقهای مختلفی در این زمینه انجام شده است که در ادامه به آنها اشاره میکنم.
۱- افراد رمزهای قدیمی خود را در ساختار جدیدی مجددا استفاده میکنند: زمانی که افراد مجبور به تغییر رمز عبور به صورت دورهای میشوند، به دلایلی مختلف مانند تنبلی و یا آنکه حفظ کردن رمز عبور کاملا جدید برایشان سخت است، رمز عبور قبلی را با کمی تغییرات، مجددا استفاده میکنند!
به عنوان مثال در تحقیقی که در سال ۲۰۱۰ توسط دانشگاه کارلتون انجام شده است، بیشتر افراد رمز عبور قدیمی خود را با کمی تغییر مجددا استفاده میکردهاند: رمز عبور قدیمی tarheels#1 و رمز عبور جدید tArheels#1! همانگونه که میبینید رمز عبور همان رمز عبور قدیمی است با تنها یک تغییر که حرف a به A تغییر کرده است.
۲- احتمال استفاده رمز عبور جدید در وبسایتهای دیگر نیز وجود دارد: در بسیاری از موارد مانند آنچه گروه CESG اشاره کرده است، بسیاری از افراد زمانی که مجبور به تغییر رمز عبور خود به صورت مستمر میشوند، از آن رمز عبور در وبسایتهای دیگر هم استفاده میکنند تا به این صورت آن را بهتر به حافظه بسپارند؛ برای همین تغییر دورهای رمز عبور آنقدرها به مخفی بودن و امن نگه داشتن رمز عبور کمک نمیکند.
۳- تغییر دورهای رمز عبور آنقدر جلوی حملات سایبری را نمیگیرد: برخلاف تصور، تغییر مستمر رمز عبور آنقدرها به مقابله با حملات سایبری کمک نمیکند. برای درک بهتر بد نیست به تحقیق دیگری از دانشگاه کارلتون اشاره کنم که در آن به بررسی تاثیر سیاست تغییر دورهای رمز عبور پرداختهاند.
براساس این تحقیق هر چند که تغییر دورهای رمز عبور میتواند از دسترسی افراد قدیمی که به سیستم دسترسی داشتهاند اما نباید دیگر دسترسی داشته باشند – مثلا به دلیل خارج شدن از شرکت/سازمان – جلوگیری میکند، اما این سیاست در مقابل حملات سایبری آنقدرها کاربردی نیست مخصوصا آنکه فرد نفوذ کننده به راحتی میتواند با نصب یک درب پشتی و یا یک کیلاگر بر روی سیستمهای مختلف، به صورت کامل کاربرد سیاست تغییر دورهای رمز عبور را زیر سوال ببرد.
خب! حالا که با دلایل مهم نبود تغییر دورهای رمز عبور آشنا شدید، شاید این سوال پیش بیاید که راه حل چیست؟ حالا که تغییر مستمر رمز عبور مهم نیست، باید چه کار کنم؟
در پاسخ به این دو سوال باید گفت که شما همواره باید این سه قانون طلایی را برای انتخاب رمز عبور دنبال کنید و تا زمانی که این سه قانون را رعایت کنید، نیاز به تغییر دورهای رمز عبور که کاری بیفایده است نخواهید داشت 🙂
۱- رمز عبور یکتا برای هر حساب: به هیچ عنوان و تحت هیچ شرایطی شما نباید از یک رمز عبور برای بیشتر از یک حساب استفاده کنید؛ به عبارتی دیگر هیچ وقت تمام تخم مرغهای خود را در یک سبد قرار ندهید.
۲- استفاده از نرمافزارهای مدیریت رمز عبور: به جای اینکه ذهن خودتان را درگیر و خسته تولید رمزهای عبور پیچیده کنید، این کار را به نرمافزارهای مدیریت رمز عبور مانند KeePass و یا LastPass بسپارید تا به این صورت هم رمز عبور پیچیده و قویای داشته باشید و هم نگران حفظ کردن آنها نباشید.
۳- فعال کردن ورود دو مرحلهای: ورود دو مرحلهای را برای هر سرویسی که به شما این امکان را میدهد، فعال کنید. مثلا هم اکنون گوگل، توییتر، فیسبوک، اینستاگرام، تلگرام، دراپباکس و… این امکان را در اختیار شما قرار میدهند. علاوه بر این همواره این امکان را بر روی اپلیکیشنهایی مانند Google Authenticator قرار بدهید و دریافت کد تایید ورود از طریق پیامک یا SMS را به هیچ عنوان استفاده نکنید.
در نهایت هم باید به ۸۵٪ که در نظرسنجی توییتری من در مورد همین موضوع شرکت و از عدم تغییر دورهای رمز عبور صحبت کردهاند، بگویم که جای هیچ نگرانیای در این زمینه نیست تا زمانی که شما سه قانون طلایی بالا را رعایت کنید 🙂
نوشتن دیدگاهآیا شما رمز عبور حسابهای خودتان را به صورت دورهای (مثلا هر ۹۰ روز) عوض میکنید؟ #ریتوییت
— Amin Sabeti (@AminSabeti) August 5, 2016