آیا باید رمز عبور را به صورت مرتب عوض کرد؟

رمز عبور

اگر حال و حوصله خواندن این مطلب تقریبا بلند و باید را ندارید و به دنبال پاسخ بله یا خیر هستید، باید بگویم که پاسخ عنوان این مطلب نه است؛ یعنی آنکه شما دیگر نیازی نیست که رمز عبور حساب‌هایتان را به صورت مستمر (مثلا ۹۰ روز یکبار) تغییر دهید و به جای این کار بهتر است که خودتان را عادت به استفاده از نرم‌افزارهای مدیریت رمز عبور مانند LastPass و KeePass بدهید.

حالا که متوجه شدید که دیگر مانند گذشته نیازی نیست که رمز عبور حساب‌های مختلف خود را تغییر دهید، بگذارید به دلایل این ادعا که شاید در نگاه اول دیوانه‌وار باشد، بپردازم؛ هر چند که قبل از آن بد نیست به این نکته اشاره کنم که در سال‌های اخیر سازمان‌های مختلفی تغییر دوره‌ای رمز عبور را دیگر پیشنهاد نمی‌کنند – مانند گروه CESG که یکی از بخش‌های ستاد ارتباطات دولت بریتانیا است – و همچنین تحقیق‌های مختلفی در این زمینه انجام شده است که در ادامه به آنها اشاره می‌کنم.

۱- افراد رمزهای قدیمی خود را در ساختار جدیدی مجددا استفاده می‌کنند: زمانی که افراد مجبور به تغییر رمز عبور به صورت دوره‌ای می‌شوند، به دلایلی مختلف مانند تنبلی و یا آنکه حفظ کردن رمز عبور کاملا جدید برای‌شان سخت است، رمز عبور قبلی را با کمی تغییرات، مجددا استفاده می‌کنند!

به عنوان مثال در تحقیقی که در سال ۲۰۱۰ توسط دانشگاه کارلتون انجام شده است، بیشتر افراد رمز عبور قدیمی خود را با کمی تغییر مجددا استفاده می‌کرده‌اند: رمز عبور قدیمی tarheels#1 و رمز عبور جدید tArheels#1! همانگونه که می‌بینید رمز عبور همان رمز عبور قدیمی است با تنها یک تغییر که حرف a به A تغییر کرده است.

۲- احتمال استفاده رمز عبور جدید در وب‌سایت‌های دیگر نیز وجود دارد: در بسیاری از موارد مانند آنچه گروه CESG اشاره کرده است، بسیاری از افراد زمانی که مجبور به تغییر رمز عبور خود به صورت مستمر می‌شوند، از آن رمز عبور در وب‌سایت‌های دیگر هم استفاده می‌کنند تا به این صورت آن را بهتر به حافظه بسپارند؛ برای همین تغییر دوره‌ای رمز عبور آنقدرها به مخفی بودن و امن نگه داشتن رمز عبور کمک نمی‌کند.

۳- تغییر دوره‌ای رمز عبور آنقدر جلوی حملات سایبری را نمی‌گیرد: برخلاف تصور، تغییر مستمر رمز عبور آنقدرها به مقابله با حملات سایبری کمک نمی‌کند. برای درک بهتر بد نیست به تحقیق دیگری از دانشگاه کارلتون اشاره کنم که در آن به بررسی تاثیر سیاست تغییر دوره‌ای رمز عبور پرداخته‌اند.

براساس این تحقیق هر چند که تغییر دوره‌ای رمز عبور می‌تواند از دسترسی افراد قدیمی که به سیستم دسترسی داشته‌اند اما نباید دیگر دسترسی داشته باشند – مثلا به دلیل خارج شدن از شرکت/سازمان – جلوگیری می‌کند، اما این سیاست در مقابل حملات سایبری آنقدرها کاربردی نیست مخصوصا آنکه فرد نفوذ کننده به راحتی می‌تواند با نصب یک درب پشتی و یا یک کی‌لاگر بر روی سیستم‌های مختلف، به صورت کامل کاربرد سیاست تغییر دوره‌ای رمز عبور را زیر سوال ببرد.

خب! حالا که با دلایل مهم نبود تغییر دوره‌ای رمز عبور آشنا شدید، شاید این سوال پیش بیاید که راه حل چیست؟ حالا که تغییر مستمر رمز عبور مهم نیست، باید چه کار کنم؟

در پاسخ به این دو سوال باید گفت که شما همواره باید این سه قانون طلایی را برای انتخاب رمز عبور دنبال کنید و تا زمانی که این سه قانون را رعایت کنید، نیاز به تغییر دوره‌ای رمز عبور که کاری بی‌فایده است نخواهید داشت 🙂

۱- رمز عبور یکتا برای هر حساب: به هیچ عنوان و تحت هیچ شرایطی شما نباید از یک رمز عبور برای بیشتر از یک حساب استفاده کنید؛ به عبارتی دیگر هیچ وقت تمام تخم مرغ‌های خود را در یک سبد قرار ندهید.

۲- استفاده از نرم‌افزارهای مدیریت رمز عبور: به جای اینکه ذهن خودتان را درگیر و خسته تولید رمزهای عبور پیچیده کنید، این کار را به نرم‌افزارهای مدیریت رمز عبور مانند KeePass و یا LastPass بسپارید تا به این صورت هم رمز عبور پیچیده و قوی‌ای داشته باشید و هم نگران حفظ کردن آنها نباشید.

۳- فعال کردن ورود دو مرحله‌ای: ورود دو مرحله‌ای را برای هر سرویسی که به شما این امکان را می‌دهد، فعال کنید. مثلا هم اکنون گوگل، توییتر، فیس‌بوک، اینستاگرام، تلگرام، دراپ‌باکس و… این امکان را در اختیار شما قرار می‌دهند. علاوه بر این همواره این امکان را بر روی اپلیکیشن‌هایی مانند Google Authenticator قرار بدهید و دریافت کد تایید ورود از طریق پیامک یا SMS را به هیچ عنوان استفاده نکنید.

در نهایت هم  باید به ۸۵٪ که در نظرسنجی توییتری من در مورد همین موضوع شرکت و از عدم تغییر دوره‌ای رمز عبور صحبت کرده‌اند، بگویم که جای هیچ نگرانی‌ای در این زمینه نیست تا زمانی که شما سه قانون طلایی بالا را رعایت کنید 🙂

نوشتن دیدگاه

از چه رمزهای عبوری نباید استفاده کنید؟

رمزهای عبور مانند شورت‌ها هستند.
رمزهای عبور مانند شورت‌ها هستند. (منبع عکس: Flickr)

با پایان سال ۲۰۱۵، لیستی از محبوب‌ترین رمزهای عبور براساس ۲ میلیون رمز عبور افشا شده بر روی اینترنت در سال گذشته میلادی، منتشر شده است که متاسفانه نتایج امسال نیز مانند سال‌های گذشته فاجعه است به گونه‌ای که به راحتی می‌توان فهمید چقدر کار خلافکاران سایبری برای نفوذ به حساب‌های مختلف ساده و راحت است.

براساس اعلام SplashData که امسال نیز مانند سال‌های گذشته لیستی از رمزهای عبور محبوب در میان کاربران اینترنت منتشر کرده است، ۱۲۳۴۵۶، password و ۱۲۳۴۵۶۷۸ رتبه‌های اول تا سوم را در اختیار دارند.

لیست کامل رمزهای عبور محبوب در بین کاربران در سال گذشته میلادی به صورت زیر است:

  1. ۱۲۳۴۵۶
  2. password
  3. ۱۲۳۴۵۶۷۸
  4. qwerty
  5. ۱۲۳۴۵
  6. ۱۲۳۴۵۶۷۸۹
  7. football
  8. ۱۲۳۴
  9. ۱۲۳۴۵۶۷
  10. baseball
  11. welcome
  12. ۱۲۳۴۵۶۷۸۹۰
  13. abc123
  14. ۱۱۱۱۱۱
  15. ۱qaz2wsx
  16. dragon
  17. master
  18. monkey
  19. letmein
  20. login
  21. princess
  22. qwertyuiop
  23. solo
  24. passw0rd
  25. starwars

حالا شاید برای شما این سوال پیش آمده باشد که چه اهمیتی دارد که از محبوب‌ترین رمزهای عبور سال گذشته مطلع شوید؟

در پاسخ به این سوال احتمالی شما باید بگویم که کمترین اهمیت آن است که تحت هیچ شرایطی و به هیچ عنوان از این رمزهای عبور در حساب‌های آنلاین خود استفاده نکنید. دلیل این پیشنهاد هم به این نکته باز می‌گردد که امکان نفوذ به حساب شما بسیار راحت خواهد بود اگر از یکی از این رمزهای عبور استفاده کنید.

در ضمن بد نیست بدانید که وضعیت کاربران ایرانی نسبت به کاربران سرتاسر جهان در این زمینه بهتر نیست و همانگونه که قبلا در مطلبی با عنوان «محبوب‌ترین رمزهای عبور در میان کاربران ایرانی چیست؟» گفته‌ام، ۱۲۳۴۵۶، ۱۲۳۴۵۶۷۸۹ و ۱۲۳۴۵ محبوب‌ترین رمزهای عبور در میان ایرانی‌هاست.

در این میان اگر در انتخاب رمز عبور و حفظ کردن آنها مشکل دارید، به شما پیشنهاد می‌کنم که از یکی از ابزارهای مدیریت رمز عبور مانند KeePass یا LastPass استفاده کنید.

به عنوان نکته آخر هم بد نیست که به رمزهای عبور حساب‌های خود مانند شورت‌تان نگاه کنید و آن را با کسی به اشتراک نگذارید 🙂

نوشتن دیدگاه

محبوب‌ترین رمزهای عبور در میان کاربران ایرانی چیست؟

در پنجمین شماره یکشنبه‌ها با امنیت دیجیتال به ماجرای هک شدن شبکه اجتماعی فیس‌نما اشاره کردم و به جای بیان دیدگاه خودم در مورد آن، به مطلبی که جادی در این مورد نوشته بود لینک دادم. در همان زمان اطلاعات منتشر شده توسط هکر یا هکرها را دانلود کردم تا سر فرصت محتوای آن را تجزیه و تحلیل کنم.

بعد از حدود یک هفته تاخیر سرانجام در آخر هفته وقت کردم تا به صورت کامل تحلیل‌های لازم را بر روی این دیتابیس انجام بدهم و این مطلب را که حاصل این تحلیل‌هاست را بنویسم.

روش جمع‌آوری اطلاعات
قبل از آنکه به سراغ تحلیل اطلاعات بروم،‌ بد نیست که در مورد روش جمع‌آوری اطلاعات کمی توضیح بدهم تا هر گونه ابهام در این زمینه از بین برود.

اطلاعاتی که توسط هکر یا هکرها از فیس‌نما به صورت عمومی منتشر شده بود حاوی بیش از ۱۱۶ هزار رکورد بود که شامل آدرس ایمیل، نام کاربردی، رمزهای عبور رمزنگاری شده به صورت MD5 و نام کاربران بود.

پایگاه داده منتشر شده از فیس‌نما
پایگاه داده منتشر شده از فیس‌نما که توسط من تار شده است

با توجه به اینکه رمزهای عبور منتشر شده به صورت MD5 رمزنگاری شده بودند، ابتدا به کمک یکی از دوستان تمامی رمزهای عبوری که بیشتر از ۱۰ بار تکرار شده بودند را استخراج کردیم. حاصل این کار ۳۴۷ رمز عبوری بود که بیشتر از ۱۰ بار تکرار شده بودند.

۱۰ رمزنگاری MD5 پرطرفدار در دیتابیس فیس‌نما

با توجه به اینکه رمزهای عبور منتشر شده به صورت MD5 رمزنگاری شده بودند، با یک جستجوی ساده به وب‌سایت HashKiller رسیدم که به صورت آنلاین در بیشتر مواقع قادر به شکستن رمزنگاری MD5 است. این وب‌سایت به گونه‌ای عمل می‌کند که اگر شما یک رمز عبور ساده مانند ۱۲۳۴۵۶ را انتخاب و آن را به صورت MD5 رمزنگاری کنید، به دلیل سادگی و آنکه قبلا MD5 این رمز عبور لو رفته است، شکستن آن به راحتی امکان‌پذیر است.

من تمام رمزهای عبوری که استخراج کرده بودم را وارد این وب‌سایت کردم که حاصل آن جدول زیر شد:

تحلیل اطلاعات جمع‌آوری شده
حالا که فرآیند جمع‌آوری اطلاعات را شرح دادم تا هیچگونه شک و شبه‌ای در این میان باقی نماند، بگذارید به سراغ تحلیل این اطلاعات برویم.

اولین نکته و شاید شوکه‌کننده آن ۱۰ رمز عبور محبوب در میان کاربران فیس‌نما (که با توجه به پرطرفداری این وب‌سایت و حجم اطلاعات منتشر شده می‌توان آن را به کل کاربران تعمیم داد) است که در این میان رمز عبور ۱۲۳۴۵۶ با فاصله زیادی محبوب‌ترین رمز عبور در این میان بوده است. نکته جالب در این میان آن است که محبوب‌ترین رمز عبور در میان کاربران ایرانی در حالی ۱۲۳۴۵۶ است که این رمز عبور محبوب‌ترین رمز عبور در دنیاست!

علاوه بر این نکات جالب دیگری که در زمان استخراج و نگاه کردن به پایگاه داده فیس‌نما به چشمم خوردند از این قرار هستند که خواندن آنها خالی از لطف نیست:

  • فیس‌نما یک اصل ساده در زمان ایجاد حساب را رعایت نمی‌کند و آن چک کردن معتبر بودن ایمیل کاربران است. علت این ادعا هم به این نکته باز می‌گردد که در پایگاه داده منتشر شده ده‌ها آدرس ایمیل اشتباه مانند @gmial.com به جای @gmail.com وجود دارد و یا آنکه آدرس ایمیلی مانند …[email protected]!
  • حدود ۱۰ هزار کاربر با ایمیل‌هایی از سرویس‌های غیر ایرانی مانند یاهو یا جی‌میل در فیس‌نما ثبت‌نام کرده‌اند هر چند که همانگونه که در بالا گفتم، براساس ساختار فیس‌نما، شما با هر آدرس ایمیل مانند [email protected] نیز می‌توانید در فیس‌نما حساب باز کنید!
  • تعداد کاربرانی که از ایمیل ملی (مانند چاپار، ایران، میهن میل و…) در فیس‌نما عضو بوده‌اند زیر عدد ۱۰۰ است!
  • بعضی از رمزهای عبور استفاده شده در فیس‌نما اسم کاربران است به گونه‌ای که Maryam، Alireza و Mohammad توسط بیش از ۵۰ نفر به عنوان رمز عبور انتخاب شده‌اند.

نتیجه‌گیری
با توجه به آنچه در بالا گفته شد باید بگویم که اولین و مهمترین نتیجه این بررسی آن است که از رمزهای عبور پیچیده و قوی استفاده کنید و بیخیال استفاده از رمزهای عبوری مانند ۱۲۳۴۵۶ شوید. علاوه بر این همواره به یاد داشته باشید که از یک رمز عبور برای بیشتر از یک حساب‌تان استفاده نکنید.

دلیل این نکته هم به موضوع همین مطلب باز می‌گردد: اگر شما پیچیده‌ترین رمز عبور با ۵۰ حرف و علامت‌های خاص و… ایجاد کنید اما آن را برای تمام حساب‌های خود مانند فیس‌نما و ایمیل خود مورد استفاده قرار بدهید، اگر وب‌سایتی که رمز عبور را در آن استفاده کرده‌اید آن را به صورت متن ساده ذخیره کند و سرورش هک شود، بدان معنا است که ایمیل شما نیز هک شده است!

اگر هم در مدیریت رمزهای عبور خودتان دچار مشکل هستید و فکر می‌کنید حفظ کردن چندین رمز عبور سخت است، استفاده از KeePass و LastPass را پیشنهاد می‌کنم. اگر نمی‌دانید از این ابزارها چگونه استفاده کنید، همین الان در بی‌خوف ثبت‌نام کنید تا در ۱ اسفند ماه راهنمای مرحله به مرحله آنها را دریافت کنید 🙂

اگر هم سوالی در زمینه امنیت دیجیتال داشتید، می‌توانید از طریق بخش نظرات، ایمیل و یا توییتر آن را با من در میان بگذارید.

پی‌نوشت ۱: جدول بالا که حاوی رمزهای عبور محبوب در میان کاربران ایرانی است را می‌توانید از گیت‌هاب دانلود کنید.

نوشتن دیدگاه

آیا تمام آنچه در مورد انتخاب رمز عبور مناسب گفته می‌شود درست است؟

یکی از روش‌هایی که برای جلوگیری از نفوذ به حساب‌های مختلف توسط کارشناسان امنیت در اینترنت/کامپیوتر پیشنهاد می‌شود، انتخاب رمز عبور طولانی و پیچیده و عدم استفاده از آن برای چندین حساب است. به همین دلیل، یکی از نکاتی که برای انتخاب رمز عبور مناسب به کاربران گفته می‌شود آن است که یک جمله‌ی معروف و مورد علاقه‌ی خود مانند یک شعر را انتخاب کنند و با کمی تغییر در آن رمز عبوری مناسب ایجاد کنند. به عنوان مثال شما می‌توانید با تغییر در مصرع «بنی آدم اعضای یکدیگرند» یک رمز عبور مناسب درست کنید: BaaYd$

علاوه بر این، یکی دیگر از مواردی که مورد تاکید قرار می‌گیرد، دقت در پاسخ به سوال امنیتی حساب‌های مختلف است. مثلا گفته می‌شود پاسخی که انتخاب می‌کنید، با یک جستجوی ساده در گوگل در دسترس فرد نفوذگر قرار نگیرد.

حالا سوالی که پیش می‌آید آن است که آیا این نکات واقعا کاربردی و موثر هستند؟

پاسخ این سوال خیر است و مارکوس جیکوبسون (Markus Jakobsson) در Wired این داستان را به خوبی توضیح داده است که اگر فرصت و حوصله‌ی خواندنش را دارید، شدیدا آن را توصیه می‌کنم. اما اگر بخواهم خلاصه‌ی این مطلب را بیان کنم، باید بگویم که براساس ایده‌ی مارکوس، انتخاب رمز عبور براساس جملات مشهور کار درستی نیست و خطر نفوذ به حساب شما را کاهش نمی‌دهد، چون هکرها بیشتر از من و شما ترفندها و روش‌های مورد استفاده در این مورد را می‌دانند! علاوه بر این انتخاب سوالات امنیتی‌ای مانند رنگ مورد علاقه و پاسخی مانند سفید نیز آنقدرها به شما در جهت افزایش امنیت حساب‌هایتان کمک نمی‌کند، زیرا حدس زدن رنگ‌های معروفی مانند سفید، قرمز، آبی و… آنقدرها کار سختی نیست.

به همین جهت بد نیست که در روش انتخاب رمز عبور و پاسخ دادن به سوالات امنیتی کمی تغییر ایجاد کنید و به جای انتخاب رنگ قرمز در پاسخ به سوال امنیتی، رنگی مثل پسته‌ای یا مشابه آن را که آنقدرها پرکاربرد نیستند، انتخاب کنید. علاوه بر آن در ایجاد رمز عبور هم بد نیست که از داستان‌ها و خاطراتی استفاده کنید که تنها خودتان از آنها خبر دارید، مثلا جملاتی که از گفتن آنها شرم دارید 🙂

و شاید بد نباشد که این جمله‌ی کلیدی مقاله‌ی مارکوس را ذکر کنم که گفته است: Security and practicality are in conflict (امنیت و قابل عمل بودن در تضاد با یکدیگرند).

نوشتن دیدگاه