آیا تمام آنچه در مورد انتخاب رمز عبور مناسب گفته می‌شود درست است؟

یکی از روش‌هایی که برای جلوگیری از نفوذ به حساب‌های مختلف توسط کارشناسان امنیت در اینترنت/کامپیوتر پیشنهاد می‌شود، انتخاب رمز عبور طولانی و پیچیده و عدم استفاده از آن برای چندین حساب است. به همین دلیل، یکی از نکاتی که برای انتخاب رمز عبور مناسب به کاربران گفته می‌شود آن است که یک جمله‌ی معروف و مورد علاقه‌ی خود مانند یک شعر را انتخاب کنند و با کمی تغییر در آن رمز عبوری مناسب ایجاد کنند. به عنوان مثال شما می‌توانید با تغییر در مصرع «بنی آدم اعضای یکدیگرند» یک رمز عبور مناسب درست کنید: BaaYd$

علاوه بر این، یکی دیگر از مواردی که مورد تاکید قرار می‌گیرد، دقت در پاسخ به سوال امنیتی حساب‌های مختلف است. مثلا گفته می‌شود پاسخی که انتخاب می‌کنید، با یک جستجوی ساده در گوگل در دسترس فرد نفوذگر قرار نگیرد.

حالا سوالی که پیش می‌آید آن است که آیا این نکات واقعا کاربردی و موثر هستند؟

پاسخ این سوال خیر است و مارکوس جیکوبسون (Markus Jakobsson) در Wired این داستان را به خوبی توضیح داده است که اگر فرصت و حوصله‌ی خواندنش را دارید، شدیدا آن را توصیه می‌کنم. اما اگر بخواهم خلاصه‌ی این مطلب را بیان کنم، باید بگویم که براساس ایده‌ی مارکوس، انتخاب رمز عبور براساس جملات مشهور کار درستی نیست و خطر نفوذ به حساب شما را کاهش نمی‌دهد، چون هکرها بیشتر از من و شما ترفندها و روش‌های مورد استفاده در این مورد را می‌دانند! علاوه بر این انتخاب سوالات امنیتی‌ای مانند رنگ مورد علاقه و پاسخی مانند سفید نیز آنقدرها به شما در جهت افزایش امنیت حساب‌هایتان کمک نمی‌کند، زیرا حدس زدن رنگ‌های معروفی مانند سفید، قرمز، آبی و… آنقدرها کار سختی نیست.

به همین جهت بد نیست که در روش انتخاب رمز عبور و پاسخ دادن به سوالات امنیتی کمی تغییر ایجاد کنید و به جای انتخاب رنگ قرمز در پاسخ به سوال امنیتی، رنگی مثل پسته‌ای یا مشابه آن را که آنقدرها پرکاربرد نیستند، انتخاب کنید. علاوه بر آن در ایجاد رمز عبور هم بد نیست که از داستان‌ها و خاطراتی استفاده کنید که تنها خودتان از آنها خبر دارید، مثلا جملاتی که از گفتن آنها شرم دارید 🙂

و شاید بد نباشد که این جمله‌ی کلیدی مقاله‌ی مارکوس را ذکر کنم که گفته است: Security and practicality are in conflict (امنیت و قابل عمل بودن در تضاد با یکدیگرند).

نوشتن دیدگاه

روش‌های میانبر، راه حل افزایش امنیت در دنیای تکنولوژی نیست

قبلا در مطلبی با عنوان «هکر ایرانی کومودو، هکری آماتور است!» در مورد افسانه بودن ارتش سایبری ایران و حواشی آن صحبت کرده‌ام و در قسمتی از این مطلب به علت موفقیت ارتش سایبری ایران پرداختم:

در نهایت بار دیگر بر این نکته تاکید می‌کنم که اکثر حملات سایبری از سوی ارتش سایبری و هکرهای دیگر به این دلیل موفق بوده‌اند که قربانیان سهل‌انگاری کرده‌اند و به توصیه‌های امنیتی توجه نکرده‌اند، به همین دلیل بهتر است به جای آنکه یک افسانه را بزرگ و به آن پر و بال بدهیم، سطح اطلاعات و آموزش خود را در مورد دنیای اینترنت و حاشیه‌های آن افزایش دهیم.

امروز به مقاله‌ای جالب و جذاب در Wired برخوردم که به ماجرای اخیر وب‌سایت Copycat و مشکل امنیتی آن اشاره کرده که با خواندن کامل این مقاله به طور کامل در جریان این داستان قرار خواهید گرفت. اما آنچه باعث شد این مطلب را بنویسم، به بخشی از این مقاله برمی‌گردد که در آن در مورد روش‌های میانبری که افراد مختلف برای افزایش امنیت خود استفاده می‌کنند و توسط دیگران پیشنهاد می‌شود اشاره شده است:

… We’ve learned that, unfortunately, security is hard, and people who tell you that it’s easy or that there are shortcuts are probably fooling you — and maybe themselves.

We know how important good data security is for dissidents, citizen journalists, democracy advocates, and human rights activists. Journalists should stop looking for shortcuts that weaken everyone. (Source)

… متاسفانه، ما می‌دانیم که امنیت {در دنیای کامپیوتر و اینترنت} سخت است و افرادی که به شما می‌گویند آسان است و یا راه‌های میانبری وجود دارد به احتمال {زیاد} شما را گول می‌زنند- و ممکن است خودشان {را هم گول بزنند}.

ما اهمیت امنیت مناسب داده‌ها برای مخالفان سیاسی، شهروند خبرنگاران، حامیان دموکراسی، و فعالان حقوق بشر را می‌دانیم. روزنامه‌نگاران باید جستجو برای {راه‌های} میانبر را متوقف کنند که به ضرر همه است. (منبع)

و این نکته‌ای مهم است که در وب فارسی و در میان افراد مختلف مانند روزنامه‌نگاران، برنامه‌نویسان، مدیران وب و فعالان شبکه‌های اجتماعی بسیار شایع است: جستجوی راه‌های میانبر برای افزایش امنیت در دنیای کامپیوتر و اینترنت.

برای همین مجددا تاکید می‌کنم، برای آنکه قربانی حملات سایبری نشوید تا بعدا افسانه‌هایی مانند ارتش سایبری ایران را باور کنید، بهتر است به جای آنکه دنبال راه‌های آسان برای افزایش امنیت خود باشید، روش‌های استاندارد و مشخص را دنبال و اجرا کنید.

نوشتن دیدگاه