رمزعبورم رو مگه نمی‌دونی؟

Binary-code-credit-Gerd-Altmann-CC0-Public-Domain

هک شدن‌های اخیر سایت‌های بزرگی همچون توییتر و لینکداین و لو رفتن رمزهای عبور میلیون‌ها کاربر باعث شد تا این مطلب نوشته بشه تا شاید کمکی کرده باشه به بالا رفتن امنیت رمزهای عبورتان.

خیلی سال پیش یکی از دوستانم بهم پیغام داد که نوید، رمزعبورت توی سایت فلان (که از خدمات دهندگان معتبر هاستینگ بود) اینه و برو عوضش کن. بله، پسوردها هک و لو رفته بود…

اجازه بدید نگاهی داشته باشیم به برخی مشکلات که امنیت را به خطر می‌اندازد:

هر سایت و سرویسی قابل هک شدن است

همواره این فرض رو بگذارید که احتمال دارد سرویسی و سایتی که دارید از آن استفاده می‌کنید، امکان هک شدن را دارد (شایدم شده باشد و شما خبر نداشته باشید). وقتی سایت‌های معتبری مثل توییتر یا لینکداین به این شکل هک می‌شوند دیگه انتظاری از سرویس‌های دیگر نداشته باشید.

WiFi-Bug-Hack-Security

شبکه‌ها ناامن هستند

شبکه‌ها به خصوص از نوع بی سیم اون به شدت ناامن هستند و عملا خیلی راحت می‌توان اطلاعات رد و بدل شده را مشاهده کرد. تقریبا دنیا از استانداردهای امنیتی شبکه‌های بی‌سیم خیلی وقته که ناامید شده و تاکید روی HTTPS شدن سایت‌ها نیز از همین دست هست. فرض کنید شما در یک سایتی که از سیستم وردپرس استفاده می‌کند، می‌خواهید وارد شوید (۲۵٪ وب‌سایت‌ها از این سیستم استفاده می‌کنند). آدرس ورود این سایت‌ها مشابه هست: felan.com/wp-login.php. نام کاربری و رمزعبوری که در فرم این صفحه وارد می‌کنید به صورت Base64 درآمده و ارسال می‌شود و خب هکری که در حال بررسی اطلاعات شماست به ساده‌ترین شکل نام کاربری و رمزعبور شما را پیدا می‌کند.

پسوردهایی که انتخاب می‌کنیم ساده است

در بهترین حالت شاید بتوانیم پسوردی را قرار دهیم که شامل یکسری اعداد و یک یا ۲ تا کاراکتر مشخص باشد. در آخر هم همین پسورد در دنیای امروز پسورد ساده‌ای محسوب می‌شود.

نهایت چند تا پسورد برای خودمان داشته باشیم

هر روز در سرویس‌های مختلفی ثبت نام می‌کنیم. آیا پسورد متفاوتی برای هرکدام از آن‌ها قرار می‌دهیم؟ مسلما نه! مگر مغز ما چقدر گنجایش دارد؟ شاید ۳-۴ تا پسورد داشته باشیم که بنا بر سلیقه برای هر سرویس از یکی از آن‌ها استفاده کنیم.

خب راه حل چیست؟

OAuth-Login-for-Facebook-Twitter-and-Google-Plus-Using-php

از ورود با سرویس‌های معتبر استفاده کنید

چند سال پیش قابلیتی به نام OpenID معرفی شد و بعد از اون امکان ورود به سایت‌ها از طریق سایت‌های معتبری همچون جیمیل، فیس بوک و توییتر امری عادی شد. چیزی که هم اکنون هم آن‌را زیاد می‌بینیم.

مزیت استفاده از این روش اینه که شما در حقیقت رمزعبور جدیدی ایجاد نمی‌کنید و خب در اصل از سرویسی استفاده می‌کنید که امنیت بالاتری دارد (نظیر جیمیل) و البته اینکه راحتتر می‌توانید وارد سایت شوید بدون اینکه رمزعبور خود را فراموش کنید.

web-vault-view

از ابزارهای مدیریت رمزعبور استفاده کنید

اون داستان لو رفتن رمزعبورم که در بالا عنوان شد را به خاطر دارید؟ بعد از اون تمامی رمزهای عبورم را به سرویس LastPass منتقل کردم و تا همین یک سال پیش از اون استفاده می‌کردم تا زمانی که به 1Password مهاجرت کردم.

نرم افزارهای مدیریت پسورد روند ساده‌ای دارند. فرض این است که شما می‌توانید یک رمزعبور پیچیده را به خاطر بسپارید و خب همین کافیست. این رمز را برای ورود به این برنامه‌ها قرار دهید و اطلاعات دیگر رمزهای عبور را به آن‌ها بسپارید. نتیجه این می‌شود:

  • برای هر سایت و سرویسی یک رمزعبور متفاوت دارید
  • رمزهای عبور می‌تواند در پیچیده‌ترین حالت ممکن باشد، چراکه قرار نیست آن‌ها را به خاطر بسپارید

به همین راحتی ۲ مشکل بزرگ با استفاده از این برنامه‌ها حل می‌شود. بنابراین پیشنهاد می‌کنم حتمن از یکی از این برنامه‌ها استفاده نمایید. امکانات این برنامه‌ها انقدر خوب هست که بعد از مدتی کار به آن‌ها وابسته هم می‌شوید چراکه کار شما را نیز آسان‌تر می‌کنند.

header1

ورود دو مرحله‌ای

این مورد نیز که روز به روز تاکید بیشتری روی آن می‌شود نیز می‌تواند یک لایه امنیتی مهم به شما اضافه کند. بله، همانند امنیت شبکه‌های بی سیم، شرکت‌ها به این نتیجه رسیده‌اند که رمزعبور نیز امنیت شما را تامین نمی‌کند.

ورود ۲ مرحله‌ای که احتمالا با نوع SMSای آن آشنا هستید، بدین شکل است که بعد از ورود یک کد چند رقمی برای شما ارسال می‌کند تا با ورود آن مرحله ورود به سایت و سرویس را کامل کنید. در این حالت اگر رمزعبور شما هم لو رفته باشد، هکر مربوطه نمی‌تواند وارد حساب کاربری شما شود.

پس پیشنهاد اکید می‌شود در سایت‌هایی که اهمیت بالایی دارند، در صورت وجود قابلیت ورود ۲ مرحله‌ای، آن‌را فعال کنید.

اگر شما توسعه‌دهنده یا صاحب سایت و سرویسی هستید، می‌توانید با استفاده از ابزارهایی همچون Google Authenticator سیستم ورود دو مرحله‌ای را به راحتی برای سرویس‌تان فعال کنید (برای اضافه کردن روی وردپرس کافیست این افزونه را نصب نمایید).

از VPN استفاده کنید

مسلما این ابزار و شبکه‌ها نیامده‌اند تا شما بتوانید فیلترینگ را دور بزنید. هدف رد و بدل اطلاعات در یک شبکه امن هست. اگر شبکه بی‌سیم دارید یعنی اطلاعات شما روی هوا است، اگر به شبکه دیگری بطور مثال در کافی‌شاپ ویا رستوران متصل هستید، اطلاعات شما می‌تواند در اختیار صاحب اونجا و یا هکر مربوطه باشد. در آخر نیز اطلاعات شما می‌تواند توسط شرکت‌های ارائه دهنده خدمات اینترنت نیز رصد شود.

راه حل، استفاده از یک شبکه امن برای رد و بدل اطلاعات است. البته توجه داشته باشید که سرویس‌های VPN موجود که با هزینه کمی آن‌ها را خریداری می‌کنید نیز می‌توانند به راحتی صاحب اطلاعات شما باشند.

اگر به امنیت اطلاعات خود اهمیت می‌دهید یک سرور تهیه کرده و از ارتباط‌های امنی همچون shadowsocks استفاده نمایید.

نتیجه گیری؟

کلا امنیت به اون صورت وجود ندارد اما با رعایت همین چند مورد ساده می‌توانید تا حدی آن‌را بهبود دهید. خلاصه به امنیت خودتان اهمیت بدهید. پشیمان نمی‌شوید.

5 دیدگاه

  1. من همیشه از ابزارهای مدیریت رمزعبور دل خوشی نداشتم، آخه اگر اکانت‌ام تو این سرویس‌ها هک بشه، تمام پسورد‌هام بصورت plain در اختیار هکر هست. در واقع دوست دارم خودم مسئول هک شدن‌ام باشم، نه یک سرویس سوم. بنظر شما این تصور اشتباه است؟

    • هیچ کدام از سرویس‌هایی که همچین خدماتی می‌دهند پسورها رو به صورت Plain ذخیره نمی‌کنند… اما پیشنهاد می‌شه از برنامه‌هایی مثل ۱Password که تمامی اطلاعات روی هارد سیستم هست استفاده بشه که احتمال هک سرویس هم از بین بره

  2. سلام، اولا یه تشکر بکنم برای مطلب خوبتون و معرفی Google Authenticator که از وجودش خبر نداشتم.
    تا اونجایی که من می دونم هیچ نفوذی به سرور های توویتر انجام نشده و رمز های عبوری که درز کرده همه در اثر بد افزار ها و تروجان ها در سیستم های قربانی ها بدست اومده. پس بنظرم یجورایی فاش شدن این اطلاعات بیشتر بخاطر کوتاهی کاربرا و بی توجهی شون به امنیت و حداقل نسب یک آنتی ویروس بوده.
    در مورد لینکد این هم، رمز هایی که منتشر شده مربوط به نفوذ سال ۲۰۱۲ هست که تازه الان منشتر شده. لینکد این ادعا میکنه که الان امنیت سرور هاش به مراتب خیلی بهتر شده و به همین سادگی ها نمیشه بهش نفوذ کرد.
    یک نکته دیگر هم در مورد تایید هویت دو مرحله ای وجود داره که با توجه به باگی که در سیستم SS7 وجود داره این سرویس هم متاسفانه پتانسیل بالایی برای هک شدن داره. چند وقت پیش کلیپی از هک شدن تلگرام و واتس اَپ بوسیله همین باگ منتشر شد. (اگه ندیدید حتما با جستجو در گوگل ببینید.)
    باز هم در آخِر از شما به خاطر پرداختن به این موضوع ممنونم

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *