هک شدنهای اخیر سایتهای بزرگی همچون توییتر و لینکداین و لو رفتن رمزهای عبور میلیونها کاربر باعث شد تا این مطلب نوشته بشه تا شاید کمکی کرده باشه به بالا رفتن امنیت رمزهای عبورتان.
خیلی سال پیش یکی از دوستانم بهم پیغام داد که نوید، رمزعبورت توی سایت فلان (که از خدمات دهندگان معتبر هاستینگ بود) اینه و برو عوضش کن. بله، پسوردها هک و لو رفته بود…
اجازه بدید نگاهی داشته باشیم به برخی مشکلات که امنیت را به خطر میاندازد:
هر سایت و سرویسی قابل هک شدن است
همواره این فرض رو بگذارید که احتمال دارد سرویسی و سایتی که دارید از آن استفاده میکنید، امکان هک شدن را دارد (شایدم شده باشد و شما خبر نداشته باشید). وقتی سایتهای معتبری مثل توییتر یا لینکداین به این شکل هک میشوند دیگه انتظاری از سرویسهای دیگر نداشته باشید.
شبکهها ناامن هستند
شبکهها به خصوص از نوع بی سیم اون به شدت ناامن هستند و عملا خیلی راحت میتوان اطلاعات رد و بدل شده را مشاهده کرد. تقریبا دنیا از استانداردهای امنیتی شبکههای بیسیم خیلی وقته که ناامید شده و تاکید روی HTTPS شدن سایتها نیز از همین دست هست. فرض کنید شما در یک سایتی که از سیستم وردپرس استفاده میکند، میخواهید وارد شوید (۲۵٪ وبسایتها از این سیستم استفاده میکنند). آدرس ورود این سایتها مشابه هست: felan.com/wp-login.php. نام کاربری و رمزعبوری که در فرم این صفحه وارد میکنید به صورت Base64 درآمده و ارسال میشود و خب هکری که در حال بررسی اطلاعات شماست به سادهترین شکل نام کاربری و رمزعبور شما را پیدا میکند.
پسوردهایی که انتخاب میکنیم ساده است
در بهترین حالت شاید بتوانیم پسوردی را قرار دهیم که شامل یکسری اعداد و یک یا ۲ تا کاراکتر مشخص باشد. در آخر هم همین پسورد در دنیای امروز پسورد سادهای محسوب میشود.
نهایت چند تا پسورد برای خودمان داشته باشیم
هر روز در سرویسهای مختلفی ثبت نام میکنیم. آیا پسورد متفاوتی برای هرکدام از آنها قرار میدهیم؟ مسلما نه! مگر مغز ما چقدر گنجایش دارد؟ شاید ۳-۴ تا پسورد داشته باشیم که بنا بر سلیقه برای هر سرویس از یکی از آنها استفاده کنیم.
خب راه حل چیست؟
از ورود با سرویسهای معتبر استفاده کنید
چند سال پیش قابلیتی به نام OpenID معرفی شد و بعد از اون امکان ورود به سایتها از طریق سایتهای معتبری همچون جیمیل، فیس بوک و توییتر امری عادی شد. چیزی که هم اکنون هم آنرا زیاد میبینیم.
مزیت استفاده از این روش اینه که شما در حقیقت رمزعبور جدیدی ایجاد نمیکنید و خب در اصل از سرویسی استفاده میکنید که امنیت بالاتری دارد (نظیر جیمیل) و البته اینکه راحتتر میتوانید وارد سایت شوید بدون اینکه رمزعبور خود را فراموش کنید.
از ابزارهای مدیریت رمزعبور استفاده کنید
اون داستان لو رفتن رمزعبورم که در بالا عنوان شد را به خاطر دارید؟ بعد از اون تمامی رمزهای عبورم را به سرویس LastPass منتقل کردم و تا همین یک سال پیش از اون استفاده میکردم تا زمانی که به 1Password مهاجرت کردم.
نرم افزارهای مدیریت پسورد روند سادهای دارند. فرض این است که شما میتوانید یک رمزعبور پیچیده را به خاطر بسپارید و خب همین کافیست. این رمز را برای ورود به این برنامهها قرار دهید و اطلاعات دیگر رمزهای عبور را به آنها بسپارید. نتیجه این میشود:
- برای هر سایت و سرویسی یک رمزعبور متفاوت دارید
- رمزهای عبور میتواند در پیچیدهترین حالت ممکن باشد، چراکه قرار نیست آنها را به خاطر بسپارید
به همین راحتی ۲ مشکل بزرگ با استفاده از این برنامهها حل میشود. بنابراین پیشنهاد میکنم حتمن از یکی از این برنامهها استفاده نمایید. امکانات این برنامهها انقدر خوب هست که بعد از مدتی کار به آنها وابسته هم میشوید چراکه کار شما را نیز آسانتر میکنند.
ورود دو مرحلهای
این مورد نیز که روز به روز تاکید بیشتری روی آن میشود نیز میتواند یک لایه امنیتی مهم به شما اضافه کند. بله، همانند امنیت شبکههای بی سیم، شرکتها به این نتیجه رسیدهاند که رمزعبور نیز امنیت شما را تامین نمیکند.
ورود ۲ مرحلهای که احتمالا با نوع SMSای آن آشنا هستید، بدین شکل است که بعد از ورود یک کد چند رقمی برای شما ارسال میکند تا با ورود آن مرحله ورود به سایت و سرویس را کامل کنید. در این حالت اگر رمزعبور شما هم لو رفته باشد، هکر مربوطه نمیتواند وارد حساب کاربری شما شود.
پس پیشنهاد اکید میشود در سایتهایی که اهمیت بالایی دارند، در صورت وجود قابلیت ورود ۲ مرحلهای، آنرا فعال کنید.
اگر شما توسعهدهنده یا صاحب سایت و سرویسی هستید، میتوانید با استفاده از ابزارهایی همچون Google Authenticator سیستم ورود دو مرحلهای را به راحتی برای سرویستان فعال کنید (برای اضافه کردن روی وردپرس کافیست این افزونه را نصب نمایید).
از VPN استفاده کنید
مسلما این ابزار و شبکهها نیامدهاند تا شما بتوانید فیلترینگ را دور بزنید. هدف رد و بدل اطلاعات در یک شبکه امن هست. اگر شبکه بیسیم دارید یعنی اطلاعات شما روی هوا است، اگر به شبکه دیگری بطور مثال در کافیشاپ ویا رستوران متصل هستید، اطلاعات شما میتواند در اختیار صاحب اونجا و یا هکر مربوطه باشد. در آخر نیز اطلاعات شما میتواند توسط شرکتهای ارائه دهنده خدمات اینترنت نیز رصد شود.
راه حل، استفاده از یک شبکه امن برای رد و بدل اطلاعات است. البته توجه داشته باشید که سرویسهای VPN موجود که با هزینه کمی آنها را خریداری میکنید نیز میتوانند به راحتی صاحب اطلاعات شما باشند.
اگر به امنیت اطلاعات خود اهمیت میدهید یک سرور تهیه کرده و از ارتباطهای امنی همچون shadowsocks استفاده نمایید.
نتیجه گیری؟
کلا امنیت به اون صورت وجود ندارد اما با رعایت همین چند مورد ساده میتوانید تا حدی آنرا بهبود دهید. خلاصه به امنیت خودتان اهمیت بدهید. پشیمان نمیشوید.