سه شیوه برای ایجاد پسوردهای ایمن و یکتایی که بتوان آنها را به خاطر آورد

چطور بین نیاز به داشتن پسوردهایی با ضریب امنیت بالا و ضرورت به یادآوری آنها در زمان های معین تعادل برقرار می کنید؟ بحث در اینجاست که تنها پسورد یا کلمه ی عبور ایمن، پسوردی است که نتوانید آن را به خاطر بیاورید. پس چگونه می توان به واقع یک پسورد ایمن داشت در حالی که از به خاطر سپردن و یادآوریش عاجز هستیم؟

این سئوالی است که هر بار یک نقصان امنیتی اساسی رخ می دهد برای من پیش می آید. در بهار گذشته که ضعف امنیتی خون ریزی قلبی کشف گردید حکمی عمومی صادر شد که بر مبنای آن لازم بود همگان پسوردهای خود را بلافاصله تغییر دهند، که البته هنوز و با گذشت مدت زمانی نسبتاً طولانی اینکار جز مواردی هست که در لیست کارهای انجام نشده ی من باقی مانده و هر روز آن را به آینده موکول می کنم.

در اصل بر سر یک دو راهی مانده ام، تصور اینکه با عوض نکردن پسوردم ممکن است از اشتراک های مهم من در سرویس های مختلف سو استفاده شود چندان خوشایند نیست و این فکر که لازم است پسوردهای خود را عوض کنم و انرژی و زمانم را صرف ایجاد یک پسورد ایمن جدید و سپس به خاطر سپردنش بکنم نیز آزار دهنده است.

مطمئنم بسیاری از شما خوانندگان نیز در برخی مواقع بر سر این دو راهی قرار گرفته اید، پس در ادامه با دیجیاتو همراه شوید تا فرا بگیرید چطور می توان پسوردهایی یکتا و امن داشت که در حافظه ی انسان نیز ماندگار می شوند.

اگر فردی هستید که توانسته اید سیستمی را پیاده سازی کنید که می توانید با آن پسوردهای یکتا، اتفاقی  و غیر قابل شکستن ایجاد نموده، آنها را فراموش نکنید و در زمان ضرروت مورد استفاده قرار دهید به شما تبریک می گویم. زیرا شما جز ۸ درصد از کاربرانی هستید که بر مبنای این آمار امنیت خود را با استفاده نکردن از پسوردهای تکراری حفظ می نمایند و بد نیست بدانید الباقی ما هنوز در به در به دنبال راه حل مورد استفاده ی شما هستیم.

 

ساختار یک پسورد غیر قابل شکستن

۱- هر چه یک پسورد طولانی تر باشد شکستن آن یا به اصطلاح کرک کردنش دشوارتر خواهد بود، پس همواره پسوردی با طول ۱۲ کاراکتر یا بیشتر را مورد استفاده قرار دهید.

۲- از نامها، اسامی مکان ها و لغات موجود در دیکشنری ها استفاده نکنید.

۳- سعی کنید پسورد خود را به صورت مخلوطی از حرف کوچک و بزرگ، فاصله، اعداد و علائم ایجاد نمائید.

سه قانون یاد شده شکستن پسورد شما را برای یک هکر تا حد بسیار زیادی دشوار می نمایند. استراتژی های به کار گرفته شده توسط کسانی که پسوردها را کرک می نمایند بسیار پیشرفت کرده و مبدل به شیوه های موثری شده اند، لذا داشتن یک پسورد غیر معمول و پیچیده امریست ضروری. متخصص امنیت بروس اشنایر (Bruce Schneier) در مورد پیشرفتی که کرکرهای پسورد تا به امروز داشته اند می گوید:

کرکرها از دیکشنری های متفاوتی استفاده می نمایند که حاوی کلمات انگلیسی، نامها، لغات موجود در زبان های خارجی، الگوهای گفتاری، اعداد دو یا چند رقمی، تاریخ ها، سمبل ها و... می باشند تا به هدف برسند. آنها دیکشنری ها را با شیوه های مختلفی مثل کوچک و بزرگ سازی حروف و جایگزنی سمبل ها به جای حرف های گوناگون مانند بکارگیری $ به جای S و یا @ به جای a به اجرا در می آورند و چین استراتژی هایی با در اختیار داشتن امکانات مناسب می تواند حدود دو سوم پسوردهای رایج به کار گرفته شده توسط کاربران را حدس زده و در اختیار فرد مهاجم قرار دهد.

اختلال امنیتی که در سایت ادوبی رخ داد و سبب انتشار کلمات عبور کاربران شد بیانگر این بود که پسوردهای به کار گرفته شده توسط ما تا چه حد ضعیف هستند. در ادامه می توانید لیستی از پسوردهایی که بیشتر توسط کاربران ادوبی استفاده شده بودند نگاهی بیاندازید:

• 123456
• 123456789
• password
• admin
• 12345678
• qwerty
• 1234567
• 111111
• photoshop
• 123123
• 1234567890
• 000000
• abc123
• 1234
• adobe1
• macromedia
• azerty
• iloveyou
• aaaaaa
• 654321

اگر کنجکاو هستید بدانید پسوردی که شما مورد استفاده قرار می دهید ایمن است یا خیر می توانید آن را در یکی از سرویس های آنلاین آزمایش پسورد مثل OnlineDomainTool مورد امتحان قرار دهید. این سرویس پسورد شما را از نظر یکتا، طولانی و اتفاقی بودن مورد بررسی قرار می دهد و به شما در قسمت هایی جداگانه اعلام می کند چقدر احتمال وجود که پسوردتان در دیکشنری های مورد استفاده کرکرها موجود باشد و چقدر زمان نیاز است تا با یک حمله ی بروت فورس (Brute Force) کرک شود.

 

سه شیوه برای انتخاب یک پسورد غیر قابل کرک

قبلاً هم اشاره شد مشکل اصلی در به کار گیری پسوردهای اتفاقی، طولانی و یکتا در دشواری به خاطر سپردن آنهاست. اما همانطوری که می دانید هر مشکلی بالاخره دارای راه حلی است و این مشکل نیز از قاعده ی یاد شده مستثنا نیست.

 

شیوه ی بروس اشنایر

کارشناس امنیت بروس اشنایر برای رفع مشکل به خاطر سپردن پسوردهای یکتای اتفاقی در سال ۲۰۰۸ روشی را ارائه نمود که هنوز نیز به کار گیری آن را توصیه می نماید. در این روش وی کاربران را تشویق می کند که یک جمله را در نظر گرفته و سپس آن را تبدیل به یک پسورد نمایند.

جمله ی انتخابی می تواند هر چیزی باشد که شما در به خاطر سپردن آن راحت هستید. کلماتی از جمله را انتخاب کرده، آنها را کوتاه کنید و سپس به شیوه یی یکتا ترکیبشان نمایید تا به یک پسورد ایده آل برسید. به این چهار نمونه توجه کنید:

WOO!TPwontSB = Woohoo! The Packers won the Super Bowl!

PPupmoarT@O@tgs = Please pick up more Toasty O's at the grocery store.

1tubuupshhh…imj = I tuck button-up shirts into my jeans.

W?ow?imp::ohth3r = Where oh where is my pear? Oh, there.

 

شیوه ی PAO

استفاده از تکنیک های به خاطر سپاری و بهره گیری از آیتم هایی که ذهن شما با آنها آشناست می تواند شما را در به خاطر سپردن پسوردی یکتا و غیر قابل نفوذ یاری رساند یا حداقل این تئوری است که دانشگاه علوم کامپیوتر کارنگی ملون (Carnegie Mellon) بر آن اصرار دارد. در این تئوری توصیه می شود با در نظر گرفتن یک فرد (Person) یک عمل (Action) و یک شی (Object) و یا موارد مشابه دیگری پسوردی غیر قابل نفوذ ایجاد نمایید و به همین علت به آن شیوه ی PAO یا Person-Action-Object گفته می شود.

برای مثال می توانیم یک مکان معروف را در نظر بگیریم مثلاً شهر سیدنی و بعد یک شخص مشهور را هم تصور کنیم برای مثال Robert De Niro (رابرت دنیرو) و حالا یک شی یا عمل را نیز در نظر گرفته و یک سناریوی اتفاقی خلق می کنیم. مانند: رابرت دنیرو در سیدنی در حال راندن یک جیپ است. (Robert De Niro is driving a jeep in Sydney).

شیوه ی به خاطر سپاری POA دارای مزایای شناخته شده یی است و در اصل ذهن ما در به یاد آوردن آیتم های ویژوال یا تصویری و سناریوهای غیر معمول به شکل جالبی موفق عمل می کند. وقتی چند سناریو با همین شیوه خلق کنید می توانید از آنها برای ایجاد یک پسورد قدرتمند استفاده نمایید.

برای مثال می توانید سه کلمه ی جیپ، رانندگی و سیدنی را در نظر بگیرید و از آنها عبارتی مانند drijSyd را خلق کنید (Driving a jeep in Sydney). سه سناریو کافیست تا پسوردی به اندازه ی کافی طولانی داشته باشید چند بار که سناریوها را یادآوری و کلمات ایجاد شده توسط آنها را به خاطر بیاورید پسورد برای همیشه در ذهن شما ماندگار خواهد شد پسوردی که تقریباً درکش برای دیگران غیر ممکن است.

 

به کار گیری حافظه ی آوایی

من نیز برای خود یک شیوه ی منحصر به فرد برای ایجاد پسوردهای یکتا دارم تا بتوانم آنها را به خاطر بسپارم. مراحل این روش عبارتند از:

۱- ابتدا به یک سایت ایجاد پسوردهای اتفاقی بروید.

۲- ۲۰ پسورد ایجاد کنید که حداقل دارای ۱۰ کاراکتر بوده و در آنها حروف بزرگ و اعداد نیز وجود داشته باشند.

۳- پسوردهای ایجاد شده را بررسی کنید و سعی کنید در ذهن خود برای آنها ساختارهایی آوایی پیدا کنید برای مثال drEnaba5Et برای من یادآورد doctor enaba 5 E.T است.

۴- حالا پسوردهایی که توانسته اید برای آنها ساختارهای آوایی ایجاد کنید را در یک فایل متنی وارد کرده و در حین تایپ کردن توجه کنید کدامیک ساده تر تایپ می شوند. هر چه یک پسورد راحت تر تایپ شود در حافظه ی آوایی شما راحت تر جای میگیرد.

۵- پسورد مناسب را که پیدا کردید الباقی موراد را کنار گذاشته و به فراموشی بسپارید.

 

گام بعدی و مهم ترین گام برای یک پسورد ایمن

بعد از اینکه پسورد ایمنی را برای خود ایجاد کردید هنوز یک گام بسیار بزرگ باقی مانده است که باید آن را بردارید: هرگز از یک پسورد در چند جا استفاده نکنید.

مطمئناً بسیاری از شما که زحمت خواندن این مطلب طولانی را کشیده اید ممکن است در این مرحله عصبانی یا ناراحت شده باشید. ایجاد یک پسورد یکتا و اتفاقی و بعد به خاطر سپردنش به اندازه ی کافی چالش برانگیزاست چه برسد به اینکه قرار باشد اینکار را چندین بار نیز انجام دهیم، مثلاً اگر هر روز فقط در یک وب سایت جدید عضو شویم می شود ماهی ۳۰ پسورد، واقعاً ذهن ما توان به خاطر سپردن ۳۰ پسورد یکتا برای ۳۰ سرویس متفاوت را داراست؟

روش هایی وجود دارند که می توانند تا حد زیادی این مشکل را حل کنند که در ادامه به موثرترین آنها پرداخته ایم.

 

از یک ابزار مدیریت کلمات عبور کمک بگیرید

ابزارهایی برای مدیریت پسوردها یا همان کلمات عبور وجود دارند که برخی از بهترینشان عبارتند از LastPass و 1Password. این ابزارها پسوردهای شما را در خود ذخیره سازی می نمایند و تنها کاری که شما لازم است انجام دهید به یاد آوردن یک مستر پسورد (Master Password) برای دسترسی به پسوردهای ذخیره شده بر روی این سرویس ها است.

برخی از این سرویس های مدیریت پسورد، به شیوه ی بسیار ایده آلی از طریق یک افزونه با مرورگر شما و یا حتی تلفن موبایلتان یکپارچه می شوند و هر بار که قصد ورود به یک سرویس را داشته باشید با گرفتن مستر پسورد نام کاربری و پسورد آن سرویس را به صورت خودکار برای شما وارد می کنند.

سرویسهای این چنینی را می توان بهترین شیوه برای به خاطر سپردن پسوردهای یکتا دانست و شاید تنها وقتی که به مشکل بر بخورید زمانی باشد که بخواهید از یک ابزار غریبه یا در مکانی که به سرویس دسترسی ندارید به یک اشتراک خود وارد شوید.

 

شیوه ی دوگانه: ابزارهای مدیریت پسورد در کنار حافظه ی انسانی

نظر شما در مورد به کارگیری هر دو شیوه ی به خاطر سپردن به حافظه و استفاده از ابزارهای مدیریت پسورد چیست؟ پسوردهای سرویس های مهم و حیاتی را به حافظه خود سپرده و الباقی را در یک ابزار مدیریت پسورد ذخیره سازی کنید.

ممکن است اگر از سرویس هایی مثل لست پس (LastPass) برای مدیریت پسوردهای خود استفاده می کنید به دلیل غیر رایگان بودن این سرویس بر روی موبایل این شیوه بیش از پیش نیز به کار شما بیاید. پسورد سرویس های که بیشتر بر روی موبایل استفاده می کنید را به خاطر بسپارید و الباقی را به این ابزار مدیریت کلمات عبور واگذار کنید.

در انتها لازم است بدانید پسوردهای پیچیده و یکتا نیز هنوز قابل نفوذ هستند و شما هرگز نباید به خاطر به کار گیری چنین کلمات عبوری احساس امنیت صرف داشته باشید، تکنیک هایی مانند فیشینگ و تله های مرتبط به این تکنیک و روش های مشابه دیگری وجود دارند که می توانند پسورد شما را به دست افراد مهاجم برسانند و اطلاعات حیاتی شما را به مخاطره بیاندازند. استفاده از شیوه های ورودی دو مرحله یی بر روی سرویس های مهم و روش های این چنینی می تواند یک مرحله ی حفاظتی دیگر را به وجود بیاورد و البته هوشیاری شما در رابطه با اتفاقات پیرامون تان مهم ترین عامل در حفظ امینت و حریم خصوصی شما است.