سه شیوه برای ایجاد پسوردهای ایمن و یکتایی که بتوان آنها را به خاطر آورد

چطور بین نیاز به داشتن پسوردهایی با ضریب امنیت بالا و ضرورت به یادآوری آنها در زمان های معین تعادل برقرار می کنید؟ بحث در اینجاست که تنها پسورد یا کلمه ی عبور ایمن، پسوردی است که نتوانید آن را به خاطر بیاورید. پس چگونه می توان به واقع یک پسورد ایمن داشت در حالی که از به خاطر سپردن و یادآوریش عاجز هستیم؟

این سئوالی است که هر بار یک نقصان امنیتی اساسی رخ می دهد برای من پیش می آید. در بهار گذشته که ضعف امنیتی خون ریزی قلبی کشف گردید حکمی عمومی صادر شد که بر مبنای آن لازم بود همگان پسوردهای خود را بلافاصله تغییر دهند، که البته هنوز و با گذشت مدت زمانی نسبتاً طولانی اینکار جز مواردی هست که در لیست کارهای انجام نشده ی من باقی مانده و هر روز آن را به آینده موکول می کنم.

در اصل بر سر یک دو راهی مانده ام، تصور اینکه با عوض نکردن پسوردم ممکن است از اشتراک های مهم من در سرویس های مختلف سو استفاده شود چندان خوشایند نیست و این فکر که لازم است پسوردهای خود را عوض کنم و انرژی و زمانم را صرف ایجاد یک پسورد ایمن جدید و سپس به خاطر سپردنش بکنم نیز آزار دهنده است.

مطمئنم بسیاری از شما خوانندگان نیز در برخی مواقع بر سر این دو راهی قرار گرفته اید، پس در ادامه با دیجیاتو همراه شوید تا فرا بگیرید چطور می توان پسوردهایی یکتا و امن داشت که در حافظه ی انسان نیز ماندگار می شوند.

اگر فردی هستید که توانسته اید سیستمی را پیاده سازی کنید که می توانید با آن پسوردهای یکتا، اتفاقی  و غیر قابل شکستن ایجاد نموده، آنها را فراموش نکنید و در زمان ضرروت مورد استفاده قرار دهید به شما تبریک می گویم. زیرا شما جز ۸ درصد از کاربرانی هستید که بر مبنای این آمار امنیت خود را با استفاده نکردن از پسوردهای تکراری حفظ می نمایند و بد نیست بدانید الباقی ما هنوز در به در به دنبال راه حل مورد استفاده ی شما هستیم.

 

ساختار یک پسورد غیر قابل شکستن

2

۱- هر چه یک پسورد طولانی تر باشد شکستن آن یا به اصطلاح کرک کردنش دشوارتر خواهد بود، پس همواره پسوردی با طول ۱۲ کاراکتر یا بیشتر را مورد استفاده قرار دهید.

۲- از نامها، اسامی مکان ها و لغات موجود در دیکشنری ها استفاده نکنید.

۳- سعی کنید پسورد خود را به صورت مخلوطی از حرف کوچک و بزرگ، فاصله، اعداد و علائم ایجاد نمائید.

سه قانون یاد شده شکستن پسورد شما را برای یک هکر تا حد بسیار زیادی دشوار می نمایند. استراتژی های به کار گرفته شده توسط کسانی که پسوردها را کرک می نمایند بسیار پیشرفت کرده و مبدل به شیوه های موثری شده اند، لذا داشتن یک پسورد غیر معمول و پیچیده امریست ضروری. متخصص امنیت بروس اشنایر (Bruce Schneier) در مورد پیشرفتی که کرکرهای پسورد تا به امروز داشته اند می گوید:

کرکرها از دیکشنری های متفاوتی استفاده می نمایند که حاوی کلمات انگلیسی، نامها، لغات موجود در زبان های خارجی، الگوهای گفتاری، اعداد دو یا چند رقمی، تاریخ ها، سمبل ها و... می باشند تا به هدف برسند. آنها دیکشنری ها را با شیوه های مختلفی مثل کوچک و بزرگ سازی حروف و جایگزنی سمبل ها به جای حرف های گوناگون مانند بکارگیری $ به جای S و یا @ به جای a به اجرا در می آورند و چین استراتژی هایی با در اختیار داشتن امکانات مناسب می تواند حدود دو سوم پسوردهای رایج به کار گرفته شده توسط کاربران را حدس زده و در اختیار فرد مهاجم قرار دهد.

اختلال امنیتی که در سایت ادوبی رخ داد و سبب انتشار کلمات عبور کاربران شد بیانگر این بود که پسوردهای به کار گرفته شده توسط ما تا چه حد ضعیف هستند. در ادامه می توانید لیستی از پسوردهایی که بیشتر توسط کاربران ادوبی استفاده شده بودند نگاهی بیاندازید:

  • 123456
  • 123456789
  • password
  • admin
  • 12345678
  • qwerty
  • 1234567
  • 111111
  • photoshop
  • 123123
  • 1234567890
  • 000000
  • abc123
  • 1234
  • adobe1
  • macromedia
  • azerty
  • iloveyou
  • aaaaaa
  • 654321

اگر کنجکاو هستید بدانید پسوردی که شما مورد استفاده قرار می دهید ایمن است یا خیر می توانید آن را در یکی از سرویس های آنلاین آزمایش پسورد مثل OnlineDomainTool مورد امتحان قرار دهید. این سرویس پسورد شما را از نظر یکتا، طولانی و اتفاقی بودن مورد بررسی قرار می دهد و به شما در قسمت هایی جداگانه اعلام می کند چقدر احتمال وجود که پسوردتان در دیکشنری های مورد استفاده کرکرها موجود باشد و چقدر زمان نیاز است تا با یک حمله ی بروت فورس (Brute Force) کرک شود.

 

سه شیوه برای انتخاب یک پسورد غیر قابل کرک

3

قبلاً هم اشاره شد مشکل اصلی در به کار گیری پسوردهای اتفاقی، طولانی و یکتا در دشواری به خاطر سپردن آنهاست. اما همانطوری که می دانید هر مشکلی بالاخره دارای راه حلی است و این مشکل نیز از قاعده ی یاد شده مستثنا نیست.

 

شیوه ی بروس اشنایر

کارشناس امنیت بروس اشنایر برای رفع مشکل به خاطر سپردن پسوردهای یکتای اتفاقی در سال ۲۰۰۸ روشی را ارائه نمود که هنوز نیز به کار گیری آن را توصیه می نماید. در این روش وی کاربران را تشویق می کند که یک جمله را در نظر گرفته و سپس آن را تبدیل به یک پسورد نمایند.

جمله ی انتخابی می تواند هر چیزی باشد که شما در به خاطر سپردن آن راحت هستید. کلماتی از جمله را انتخاب کرده، آنها را کوتاه کنید و سپس به شیوه یی یکتا ترکیبشان نمایید تا به یک پسورد ایده آل برسید. به این چهار نمونه توجه کنید:

WOO!TPwontSB = Woohoo! The Packers won the Super Bowl!

PPupmoarT@O@tgs = Please pick up more Toasty O's at the grocery store.

1tubuupshhh…imj = I tuck button-up shirts into my jeans.

W?ow?imp::ohth3r = Where oh where is my pear? Oh, there.

 

شیوه ی PAO

Pin Number Entry Screen

استفاده از تکنیک های به خاطر سپاری و بهره گیری از آیتم هایی که ذهن شما با آنها آشناست می تواند شما را در به خاطر سپردن پسوردی یکتا و غیر قابل نفوذ یاری رساند یا حداقل این تئوری است که دانشگاه علوم کامپیوتر کارنگی ملون (Carnegie Mellon) بر آن اصرار دارد. در این تئوری توصیه می شود با در نظر گرفتن یک فرد (Person) یک عمل (Action) و یک شی (Object) و یا موارد مشابه دیگری پسوردی غیر قابل نفوذ ایجاد نمایید و به همین علت به آن شیوه ی PAO یا Person-Action-Object گفته می شود.

برای مثال می توانیم یک مکان معروف را در نظر بگیریم مثلاً شهر سیدنی و بعد یک شخص مشهور را هم تصور کنیم برای مثال Robert De Niro (رابرت دنیرو) و حالا یک شی یا عمل را نیز در نظر گرفته و یک سناریوی اتفاقی خلق می کنیم. مانند: رابرت دنیرو در سیدنی در حال راندن یک جیپ است. (Robert De Niro is driving a jeep in Sydney).

شیوه ی به خاطر سپاری POA دارای مزایای شناخته شده یی است و در اصل ذهن ما در به یاد آوردن آیتم های ویژوال یا تصویری و سناریوهای غیر معمول به شکل جالبی موفق عمل می کند. وقتی چند سناریو با همین شیوه خلق کنید می توانید از آنها برای ایجاد یک پسورد قدرتمند استفاده نمایید.

برای مثال می توانید سه کلمه ی جیپ، رانندگی و سیدنی را در نظر بگیرید و از آنها عبارتی مانند drijSyd را خلق کنید (Driving a jeep in Sydney). سه سناریو کافیست تا پسوردی به اندازه ی کافی طولانی داشته باشید چند بار که سناریوها را یادآوری و کلمات ایجاد شده توسط آنها را به خاطر بیاورید پسورد برای همیشه در ذهن شما ماندگار خواهد شد پسوردی که تقریباً درکش برای دیگران غیر ممکن است.

 

به کار گیری حافظه ی آوایی

من نیز برای خود یک شیوه ی منحصر به فرد برای ایجاد پسوردهای یکتا دارم تا بتوانم آنها را به خاطر بسپارم. مراحل این روش عبارتند از:

۱- ابتدا به یک سایت ایجاد پسوردهای اتفاقی بروید.

۲- ۲۰ پسورد ایجاد کنید که حداقل دارای ۱۰ کاراکتر بوده و در آنها حروف بزرگ و اعداد نیز وجود داشته باشند.

۳- پسوردهای ایجاد شده را بررسی کنید و سعی کنید در ذهن خود برای آنها ساختارهایی آوایی پیدا کنید برای مثال drEnaba5Et برای من یادآورد doctor enaba 5 E.T است.

۴- حالا پسوردهایی که توانسته اید برای آنها ساختارهای آوایی ایجاد کنید را در یک فایل متنی وارد کرده و در حین تایپ کردن توجه کنید کدامیک ساده تر تایپ می شوند. هر چه یک پسورد راحت تر تایپ شود در حافظه ی آوایی شما راحت تر جای میگیرد.

۵- پسورد مناسب را که پیدا کردید الباقی موراد را کنار گذاشته و به فراموشی بسپارید.

 

گام بعدی و مهم ترین گام برای یک پسورد ایمن

4

بعد از اینکه پسورد ایمنی را برای خود ایجاد کردید هنوز یک گام بسیار بزرگ باقی مانده است که باید آن را بردارید: هرگز از یک پسورد در چند جا استفاده نکنید.

مطمئناً بسیاری از شما که زحمت خواندن این مطلب طولانی را کشیده اید ممکن است در این مرحله عصبانی یا ناراحت شده باشید. ایجاد یک پسورد یکتا و اتفاقی و بعد به خاطر سپردنش به اندازه ی کافی چالش برانگیزاست چه برسد به اینکه قرار باشد اینکار را چندین بار نیز انجام دهیم، مثلاً اگر هر روز فقط در یک وب سایت جدید عضو شویم می شود ماهی ۳۰ پسورد، واقعاً ذهن ما توان به خاطر سپردن ۳۰ پسورد یکتا برای ۳۰ سرویس متفاوت را داراست؟

روش هایی وجود دارند که می توانند تا حد زیادی این مشکل را حل کنند که در ادامه به موثرترین آنها پرداخته ایم.

 

از یک ابزار مدیریت کلمات عبور کمک بگیرید

5

ابزارهایی برای مدیریت پسوردها یا همان کلمات عبور وجود دارند که برخی از بهترینشان عبارتند از LastPass و 1Password. این ابزارها پسوردهای شما را در خود ذخیره سازی می نمایند و تنها کاری که شما لازم است انجام دهید به یاد آوردن یک مستر پسورد (Master Password) برای دسترسی به پسوردهای ذخیره شده بر روی این سرویس ها است.

برخی از این سرویس های مدیریت پسورد، به شیوه ی بسیار ایده آلی از طریق یک افزونه با مرورگر شما و یا حتی تلفن موبایلتان یکپارچه می شوند و هر بار که قصد ورود به یک سرویس را داشته باشید با گرفتن مستر پسورد نام کاربری و پسورد آن سرویس را به صورت خودکار برای شما وارد می کنند.

سرویسهای این چنینی را می توان بهترین شیوه برای به خاطر سپردن پسوردهای یکتا دانست و شاید تنها وقتی که به مشکل بر بخورید زمانی باشد که بخواهید از یک ابزار غریبه یا در مکانی که به سرویس دسترسی ندارید به یک اشتراک خود وارد شوید.

 

شیوه ی دوگانه: ابزارهای مدیریت پسورد در کنار حافظه ی انسانی

Montage of man's face with computer screen

نظر شما در مورد به کارگیری هر دو شیوه ی به خاطر سپردن به حافظه و استفاده از ابزارهای مدیریت پسورد چیست؟ پسوردهای سرویس های مهم و حیاتی را به حافظه خود سپرده و الباقی را در یک ابزار مدیریت پسورد ذخیره سازی کنید.

ممکن است اگر از سرویس هایی مثل لست پس (LastPass) برای مدیریت پسوردهای خود استفاده می کنید به دلیل غیر رایگان بودن این سرویس بر روی موبایل این شیوه بیش از پیش نیز به کار شما بیاید. پسورد سرویس های که بیشتر بر روی موبایل استفاده می کنید را به خاطر بسپارید و الباقی را به این ابزار مدیریت کلمات عبور واگذار کنید.

در انتها لازم است بدانید پسوردهای پیچیده و یکتا نیز هنوز قابل نفوذ هستند و شما هرگز نباید به خاطر به کار گیری چنین کلمات عبوری احساس امنیت صرف داشته باشید، تکنیک هایی مانند فیشینگ و تله های مرتبط به این تکنیک و روش های مشابه دیگری وجود دارند که می توانند پسورد شما را به دست افراد مهاجم برسانند و اطلاعات حیاتی شما را به مخاطره بیاندازند. استفاده از شیوه های ورودی دو مرحله یی بر روی سرویس های مهم و روش های این چنینی می تواند یک مرحله ی حفاظتی دیگر را به وجود بیاورد و البته هوشیاری شما در رابطه با اتفاقات پیرامون تان مهم ترین عامل در حفظ امینت و حریم خصوصی شما است.

مطالب مرتبط

نقش کلیدی اپل و فیس بوک در شناسایی و دستگیری بنیانگذار و مدیر «کیک اس تورنت»

وقتی که مالک یکی از بزرگترین سایت های به اشتراک گذاری فایل بر مبنای بیت تورنت باشید، تارنمایی که در آن فایل های غیر قانونی متعددی در اختیار عموم قرار گرفته، شاید هرگز فکر نکنید که یک خرید قانونی از فروشگاه آیتونز می تواند شما را به دردسر بیاندازد و به آخر خط برساند. اما این... ادامه مطلب

هک گسترده باج افزار WannaCry در سراسر جهان؛ شرایط اضطراری بیمارستان های انگلیس

روز جمعه بیش از ۷۰ هزار کامپیوتر در سراسر جهان به یک باج افزار آلوده شدند. سازمان ملی بهداشت انگلیس و چندین بیمارستان در همین کشور، یک شرکت مخابراتی در اسپانیا، دفاتر فدکس در انگلیس، چند بانک در سراسر دنیا و حتی بر اساس گزارشات، وزارت کشور روسیه در میان سیستم های قربانی بوده اند. هکرها از حفره... ادامه مطلب

ایالت کالیفرنیا استفاده از پسورد ضعیف را ممنوع کرد

گزارش شده ایالت کالیفرنیا قانون جدیدی تصویب کرده که بر اساس آن کمپانی‌هایی تولید کننده‌ی روتر و وب کم دیگر نمی‌توانند پسورد ضعیف برای دیوایس‌هایشان انتخاب کنند. همچنین گفته شده آنها در صورت انتخاب گذرواژه‌های این چنینی جریمه خواهند شد. بد نیست بدانید بسیاری از روتر‌ها با پسورد اجرایی admin یا password عرضه می‌شوند. تولیدکنندگان انتظار دارند که... ادامه مطلب

مانیتورها هم ممکن است هک شوند؛ پژوهشگران می گویند

چندی قبل دانشمندان اعلام کردند که برخی برندهای کیبوردهای وایرلس در برابر هک آسیب پذیر هستند و این یعنی یک هکر می تواند کیبورد شما را هدف حمله قرار داده و دریابد که مشغول تایپ چه هستید و چه محتوایی را ارسال می کنید. حالا ظاهرا مشخص شده که نباید تنها نگران کیبوردهایمان باشیم و خطر... ادامه مطلب

یکصد هزار دلار جایزه برای نفوذ به شکل ریموت به کروم بوک های گوگل

گوگل برای افرادی که بتوانند کروم بوک های این شرکت را از طریق وب و به صورت ریموت هک نمایند پاداشی یکصد هزار دلاری در نظر گرفته. ناگفته نماند سال پیش کمپانی ساکن مانتین ویو اعلام داشت، هر مهاجمی که قادر باشد به کروم بوک های این شرکت در «حالت مهمان» (guest mode) نفوذ نماید... ادامه مطلب

اکانت ۵۰ میلیون کاربر فیسبوک هک شد

اگر قبلا از کاربران فیسبوک بوده اید حتما به خاطر دارید که با کمک قابلیتی در این شبکه اجتماعی میتوانستید ببینید حساب کاربری تان چطور برای دیگران نمایش داده می شود و چه بخش هایی را می بینند و چه بخش هایی را نمی بینند. حالا این شبکه اجتماعی اعلام کرده که با کمک همین... ادامه مطلب

نظرات ۱۷

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x