دسته: امنیت

اگر حال و حوصله خواندن این مطلب تقریبا بلند و باید را ندارید و به دنبال پاسخ بله یا خیر هستید، باید بگویم که پاسخ عنوان این مطلب نه است؛ یعنی آنکه شما دیگر نیازی نیست که رمز عبور حساب‌هایتان را به صورت مستمر (مثلا ۹۰ روز یکبار) تغییر دهید و به جای این کار بهتر است که خودتان را عادت به استفاده از نرم‌افزارهای مدیریت رمز عبور مانند LastPass و KeePass بدهید.

حالا که متوجه شدید که دیگر مانند گذشته نیازی نیست که رمز عبور حساب‌های مختلف خود را تغییر دهید، بگذارید به دلایل این ادعا که شاید در نگاه اول دیوانه‌وار باشد، بپردازم؛ هر چند که قبل از آن بد نیست به این نکته اشاره کنم که در سال‌های اخیر سازمان‌های مختلفی تغییر دوره‌ای رمز عبور را دیگر پیشنهاد نمی‌کنند – مانند گروه CESG که یکی از بخش‌های ستاد ارتباطات دولت بریتانیا است – و همچنین تحقیق‌های مختلفی در این زمینه انجام شده است که در ادامه به آنها اشاره می‌کنم.

۱- افراد رمزهای قدیمی خود را در ساختار جدیدی مجددا استفاده می‌کنند: زمانی که افراد مجبور به تغییر رمز عبور به صورت دوره‌ای می‌شوند، به دلایلی مختلف مانند تنبلی و یا آنکه حفظ کردن رمز عبور کاملا جدید برای‌شان سخت است، رمز عبور قبلی را با کمی تغییرات، مجددا استفاده می‌کنند!

به عنوان مثال در تحقیقی که در سال ۲۰۱۰ توسط دانشگاه کارلتون انجام شده است، بیشتر افراد رمز عبور قدیمی خود را با کمی تغییر مجددا استفاده می‌کرده‌اند: رمز عبور قدیمی tarheels#1 و رمز عبور جدید tArheels#1! همانگونه که می‌بینید رمز عبور همان رمز عبور قدیمی است با تنها یک تغییر که حرف a به A تغییر کرده است.

۲- احتمال استفاده رمز عبور جدید در وب‌سایت‌های دیگر نیز وجود دارد: در بسیاری از موارد مانند آنچه گروه CESG اشاره کرده است، بسیاری از افراد زمانی که مجبور به تغییر رمز عبور خود به صورت مستمر می‌شوند، از آن رمز عبور در وب‌سایت‌های دیگر هم استفاده می‌کنند تا به این صورت آن را بهتر به حافظه بسپارند؛ برای همین تغییر دوره‌ای رمز عبور آنقدرها به مخفی بودن و امن نگه داشتن رمز عبور کمک نمی‌کند.

۳- تغییر دوره‌ای رمز عبور آنقدر جلوی حملات سایبری را نمی‌گیرد: برخلاف تصور، تغییر مستمر رمز عبور آنقدرها به مقابله با حملات سایبری کمک نمی‌کند. برای درک بهتر بد نیست به تحقیق دیگری از دانشگاه کارلتون اشاره کنم که در آن به بررسی تاثیر سیاست تغییر دوره‌ای رمز عبور پرداخته‌اند.

براساس این تحقیق هر چند که تغییر دوره‌ای رمز عبور می‌تواند از دسترسی افراد قدیمی که به سیستم دسترسی داشته‌اند اما نباید دیگر دسترسی داشته باشند – مثلا به دلیل خارج شدن از شرکت/سازمان – جلوگیری می‌کند، اما این سیاست در مقابل حملات سایبری آنقدرها کاربردی نیست مخصوصا آنکه فرد نفوذ کننده به راحتی می‌تواند با نصب یک درب پشتی و یا یک کی‌لاگر بر روی سیستم‌های مختلف، به صورت کامل کاربرد سیاست تغییر دوره‌ای رمز عبور را زیر سوال ببرد.

خب! حالا که با دلایل مهم نبود تغییر دوره‌ای رمز عبور آشنا شدید، شاید این سوال پیش بیاید که راه حل چیست؟ حالا که تغییر مستمر رمز عبور مهم نیست، باید چه کار کنم؟

در پاسخ به این دو سوال باید گفت که شما همواره باید این سه قانون طلایی را برای انتخاب رمز عبور دنبال کنید و تا زمانی که این سه قانون را رعایت کنید، نیاز به تغییر دوره‌ای رمز عبور که کاری بی‌فایده است نخواهید داشت 🙂

۱- رمز عبور یکتا برای هر حساب: به هیچ عنوان و تحت هیچ شرایطی شما نباید از یک رمز عبور برای بیشتر از یک حساب استفاده کنید؛ به عبارتی دیگر هیچ وقت تمام تخم مرغ‌های خود را در یک سبد قرار ندهید.

۲- استفاده از نرم‌افزارهای مدیریت رمز عبور: به جای اینکه ذهن خودتان را درگیر و خسته تولید رمزهای عبور پیچیده کنید، این کار را به نرم‌افزارهای مدیریت رمز عبور مانند KeePass و یا LastPass بسپارید تا به این صورت هم رمز عبور پیچیده و قوی‌ای داشته باشید و هم نگران حفظ کردن آنها نباشید.

۳- فعال کردن ورود دو مرحله‌ای: ورود دو مرحله‌ای را برای هر سرویسی که به شما این امکان را می‌دهد، فعال کنید. مثلا هم اکنون گوگل، توییتر، فیس‌بوک، اینستاگرام، تلگرام، دراپ‌باکس و… این امکان را در اختیار شما قرار می‌دهند. علاوه بر این همواره این امکان را بر روی اپلیکیشن‌هایی مانند Google Authenticator قرار بدهید و دریافت کد تایید ورود از طریق پیامک یا SMS را به هیچ عنوان استفاده نکنید.

در نهایت هم  باید به ۸۵٪ که در نظرسنجی توییتری من در مورد همین موضوع شرکت و از عدم تغییر دوره‌ای رمز عبور صحبت کرده‌اند، بگویم که جای هیچ نگرانی‌ای در این زمینه نیست تا زمانی که شما سه قانون طلایی بالا را رعایت کنید 🙂

آیا شما رمز عبور حساب‌های خودتان را به صورت دوره‌ای (مثلا هر ۹۰ روز) عوض می‌کنید؟ #ریتوییت

— Amin Sabeti (@AminSabeti) August 5, 2016

در روز جمعه، ۷ اسفند ماه دهمین انتخابات مجلس شورای اسلامی و پنجمین انتخابات مجلس خبرگان برگزار شد و در این میان ده‌ها کاربر ایرانی عکس‌هایی از انگشت جوهری خود در شبکه‌های اجتماعی مانند توییتر و اینستاگرام منتشر کردند؛ به عنوان مثال می‌توانم به مجموعه زیر اشاره کرد:

IranElection2016

حال آنکه نکته‌ای که بسیاری از کاربران ایرانی (و به خصوص کسانی که با اسم مستعار در شبکه‌های اجتماعی فعالیت می‌کنند) در نظر نگرفته‌اند آن است که با انتشار انگشت خود در حقیقت اثر انگشت‌شان که برای هر فرد یکتاست را منتشر کرده‌اند و این امکان را به افراد و سازمان‌های جاسوسی/اطلاعاتی می‌دهند که به راحتی آنها را شناسایی کنند.

در اینجا شاید شما هم مانند این کاربر توییتر فکر کنید که من پارانوئید شده‌ام 🙂

=)))))))از من پارانوییدتر پیدا شد https://t.co/pI7MDpQHOA

— Siman (@toopecheltikkeh) February 27, 2016

اما متاسفانه واقعیت این است که این داستان کاملا جدی و قابل اجراست به گونه‌ای که در سال ۲۰۱۴ هکرهای کلوب کامپیوتری هرج و مرج (Chaos Computer Club) توانستند از طریق عکس وزیر دفاع آلمان اثر انگشت وی را شبیه‌سازی کنند و از آن به عنوان روش تایید شناسایی وی استفاده کنند.

حالا داستان زیر را فرض کنید:

شما یک کاربر توییتر هستید که به صورت ناشناس در توییتر فعالیت می‌کنید و در مورد امنیت شخصی خود بسیار محتاط هستید. حالا در انتخابات شرکت می‌کنید و انگشت جوهری خود را در توییتر منتشر می‌کنید. من به عنوان کارمند یک سازمان امنیتی مدت‌ها به دنبال شناسایی هویت شما هستم و با دیدن تصویر اثر انگشت شما و داشتن تکنولوژی VeriFinger اثر انگشت شما را از تصویر استخراج و سپس با پایگاه داده‌هایی که از مکان‌های مختلف (مثلا اداره گذرنامه) در اختیار دارم مقایسه می‌کنم و به این صورت هویت واقعی شما را شناسایی می‌کنم!

علاوه بر این فراموش نکنید که به عنوان یک سازمان جاسوسی به راحتی امکان این وجود دارد که تمامی این عکس‌ها جمع‌آوری و سپس یک پایگاه داده از آنها ایجاد شود. به همین راحتی!

خلاصه کلام آنکه امنیت دیجیتال را جدی بگیرید و از انتشار اطلاعات زیاد در اینترنت خودداری کنید.

با پایان سال ۲۰۱۵، لیستی از محبوب‌ترین رمزهای عبور براساس ۲ میلیون رمز عبور افشا شده بر روی اینترنت در سال گذشته میلادی، منتشر شده است که متاسفانه نتایج امسال نیز مانند سال‌های گذشته فاجعه است به گونه‌ای که به راحتی می‌توان فهمید چقدر کار خلافکاران سایبری برای نفوذ به حساب‌های مختلف ساده و راحت است.

براساس اعلام SplashData که امسال نیز مانند سال‌های گذشته لیستی از رمزهای عبور محبوب در میان کاربران اینترنت منتشر کرده است، ۱۲۳۴۵۶، password و ۱۲۳۴۵۶۷۸ رتبه‌های اول تا سوم را در اختیار دارند.

لیست کامل رمزهای عبور محبوب در بین کاربران در سال گذشته میلادی به صورت زیر است:

1. ۱۲۳۴۵۶
2. password
3. ۱۲۳۴۵۶۷۸
4. qwerty
5. ۱۲۳۴۵
6. ۱۲۳۴۵۶۷۸۹
7. football
8. ۱۲۳۴
9. ۱۲۳۴۵۶۷
10. baseball
11. welcome
12. ۱۲۳۴۵۶۷۸۹۰
13. abc123
14. ۱۱۱۱۱۱
15. ۱qaz2wsx
16. dragon
17. master
18. monkey
19. letmein
20. login
21. princess
22. qwertyuiop
23. solo
24. passw0rd
25. starwars

حالا شاید برای شما این سوال پیش آمده باشد که چه اهمیتی دارد که از محبوب‌ترین رمزهای عبور سال گذشته مطلع شوید؟

در پاسخ به این سوال احتمالی شما باید بگویم که کمترین اهمیت آن است که تحت هیچ شرایطی و به هیچ عنوان از این رمزهای عبور در حساب‌های آنلاین خود استفاده نکنید. دلیل این پیشنهاد هم به این نکته باز می‌گردد که امکان نفوذ به حساب شما بسیار راحت خواهد بود اگر از یکی از این رمزهای عبور استفاده کنید.

در ضمن بد نیست بدانید که وضعیت کاربران ایرانی نسبت به کاربران سرتاسر جهان در این زمینه بهتر نیست و همانگونه که قبلا در مطلبی با عنوان «محبوب‌ترین رمزهای عبور در میان کاربران ایرانی چیست؟» گفته‌ام، ۱۲۳۴۵۶، ۱۲۳۴۵۶۷۸۹ و ۱۲۳۴۵ محبوب‌ترین رمزهای عبور در میان ایرانی‌هاست.

در این میان اگر در انتخاب رمز عبور و حفظ کردن آنها مشکل دارید، به شما پیشنهاد می‌کنم که از یکی از ابزارهای مدیریت رمز عبور مانند KeePass یا LastPass استفاده کنید.

به عنوان نکته آخر هم بد نیست که به رمزهای عبور حساب‌های خود مانند شورت‌تان نگاه کنید و آن را با کسی به اشتراک نگذارید 🙂