سه شیوه برای ایجاد پسوردهای ایمن و یکتایی که بتوان آنها را به خاطر آورد

چطور بین نیاز به داشتن پسوردهایی با ضریب امنیت بالا و ضرورت به یادآوری آنها در زمان های معین تعادل برقرار می کنید؟ بحث در اینجاست که تنها پسورد یا کلمه ی عبور ایمن، پسوردی است که نتوانید آن را به خاطر بیاورید. پس چگونه می توان به واقع یک پسورد ایمن داشت در حالی که از به خاطر سپردن و یادآوریش عاجز هستیم؟

این سئوالی است که هر بار یک نقصان امنیتی اساسی رخ می دهد برای من پیش می آید. در بهار گذشته که ضعف امنیتی خون ریزی قلبی کشف گردید حکمی عمومی صادر شد که بر مبنای آن لازم بود همگان پسوردهای خود را بلافاصله تغییر دهند، که البته هنوز و با گذشت مدت زمانی نسبتاً طولانی اینکار جز مواردی هست که در لیست کارهای انجام نشده ی من باقی مانده و هر روز آن را به آینده موکول می کنم.

در اصل بر سر یک دو راهی مانده ام، تصور اینکه با عوض نکردن پسوردم ممکن است از اشتراک های مهم من در سرویس های مختلف سو استفاده شود چندان خوشایند نیست و این فکر که لازم است پسوردهای خود را عوض کنم و انرژی و زمانم را صرف ایجاد یک پسورد ایمن جدید و سپس به خاطر سپردنش بکنم نیز آزار دهنده است.

مطمئنم بسیاری از شما خوانندگان نیز در برخی مواقع بر سر این دو راهی قرار گرفته اید، پس در ادامه با دیجیاتو همراه شوید تا فرا بگیرید چطور می توان پسوردهایی یکتا و امن داشت که در حافظه ی انسان نیز ماندگار می شوند.

اگر فردی هستید که توانسته اید سیستمی را پیاده سازی کنید که می توانید با آن پسوردهای یکتا، اتفاقی  و غیر قابل شکستن ایجاد نموده، آنها را فراموش نکنید و در زمان ضرروت مورد استفاده قرار دهید به شما تبریک می گویم. زیرا شما جز ۸ درصد از کاربرانی هستید که بر مبنای این آمار امنیت خود را با استفاده نکردن از پسوردهای تکراری حفظ می نمایند و بد نیست بدانید الباقی ما هنوز در به در به دنبال راه حل مورد استفاده ی شما هستیم.

 

ساختار یک پسورد غیر قابل شکستن

2

۱- هر چه یک پسورد طولانی تر باشد شکستن آن یا به اصطلاح کرک کردنش دشوارتر خواهد بود، پس همواره پسوردی با طول ۱۲ کاراکتر یا بیشتر را مورد استفاده قرار دهید.

۲- از نامها، اسامی مکان ها و لغات موجود در دیکشنری ها استفاده نکنید.

۳- سعی کنید پسورد خود را به صورت مخلوطی از حرف کوچک و بزرگ، فاصله، اعداد و علائم ایجاد نمائید.

سه قانون یاد شده شکستن پسورد شما را برای یک هکر تا حد بسیار زیادی دشوار می نمایند. استراتژی های به کار گرفته شده توسط کسانی که پسوردها را کرک می نمایند بسیار پیشرفت کرده و مبدل به شیوه های موثری شده اند، لذا داشتن یک پسورد غیر معمول و پیچیده امریست ضروری. متخصص امنیت بروس اشنایر (Bruce Schneier) در مورد پیشرفتی که کرکرهای پسورد تا به امروز داشته اند می گوید:

کرکرها از دیکشنری های متفاوتی استفاده می نمایند که حاوی کلمات انگلیسی، نامها، لغات موجود در زبان های خارجی، الگوهای گفتاری، اعداد دو یا چند رقمی، تاریخ ها، سمبل ها و... می باشند تا به هدف برسند. آنها دیکشنری ها را با شیوه های مختلفی مثل کوچک و بزرگ سازی حروف و جایگزنی سمبل ها به جای حرف های گوناگون مانند بکارگیری $ به جای S و یا @ به جای a به اجرا در می آورند و چین استراتژی هایی با در اختیار داشتن امکانات مناسب می تواند حدود دو سوم پسوردهای رایج به کار گرفته شده توسط کاربران را حدس زده و در اختیار فرد مهاجم قرار دهد.

اختلال امنیتی که در سایت ادوبی رخ داد و سبب انتشار کلمات عبور کاربران شد بیانگر این بود که پسوردهای به کار گرفته شده توسط ما تا چه حد ضعیف هستند. در ادامه می توانید لیستی از پسوردهایی که بیشتر توسط کاربران ادوبی استفاده شده بودند نگاهی بیاندازید:

  • 123456
  • 123456789
  • password
  • admin
  • 12345678
  • qwerty
  • 1234567
  • 111111
  • photoshop
  • 123123
  • 1234567890
  • 000000
  • abc123
  • 1234
  • adobe1
  • macromedia
  • azerty
  • iloveyou
  • aaaaaa
  • 654321

اگر کنجکاو هستید بدانید پسوردی که شما مورد استفاده قرار می دهید ایمن است یا خیر می توانید آن را در یکی از سرویس های آنلاین آزمایش پسورد مثل OnlineDomainTool مورد امتحان قرار دهید. این سرویس پسورد شما را از نظر یکتا، طولانی و اتفاقی بودن مورد بررسی قرار می دهد و به شما در قسمت هایی جداگانه اعلام می کند چقدر احتمال وجود که پسوردتان در دیکشنری های مورد استفاده کرکرها موجود باشد و چقدر زمان نیاز است تا با یک حمله ی بروت فورس (Brute Force) کرک شود.

 

سه شیوه برای انتخاب یک پسورد غیر قابل کرک

3

قبلاً هم اشاره شد مشکل اصلی در به کار گیری پسوردهای اتفاقی، طولانی و یکتا در دشواری به خاطر سپردن آنهاست. اما همانطوری که می دانید هر مشکلی بالاخره دارای راه حلی است و این مشکل نیز از قاعده ی یاد شده مستثنا نیست.

 

شیوه ی بروس اشنایر

کارشناس امنیت بروس اشنایر برای رفع مشکل به خاطر سپردن پسوردهای یکتای اتفاقی در سال ۲۰۰۸ روشی را ارائه نمود که هنوز نیز به کار گیری آن را توصیه می نماید. در این روش وی کاربران را تشویق می کند که یک جمله را در نظر گرفته و سپس آن را تبدیل به یک پسورد نمایند.

جمله ی انتخابی می تواند هر چیزی باشد که شما در به خاطر سپردن آن راحت هستید. کلماتی از جمله را انتخاب کرده، آنها را کوتاه کنید و سپس به شیوه یی یکتا ترکیبشان نمایید تا به یک پسورد ایده آل برسید. به این چهار نمونه توجه کنید:

WOO!TPwontSB = Woohoo! The Packers won the Super Bowl!

PPupmoarT@O@tgs = Please pick up more Toasty O's at the grocery store.

1tubuupshhh…imj = I tuck button-up shirts into my jeans.

W?ow?imp::ohth3r = Where oh where is my pear? Oh, there.

 

شیوه ی PAO

Pin Number Entry Screen

استفاده از تکنیک های به خاطر سپاری و بهره گیری از آیتم هایی که ذهن شما با آنها آشناست می تواند شما را در به خاطر سپردن پسوردی یکتا و غیر قابل نفوذ یاری رساند یا حداقل این تئوری است که دانشگاه علوم کامپیوتر کارنگی ملون (Carnegie Mellon) بر آن اصرار دارد. در این تئوری توصیه می شود با در نظر گرفتن یک فرد (Person) یک عمل (Action) و یک شی (Object) و یا موارد مشابه دیگری پسوردی غیر قابل نفوذ ایجاد نمایید و به همین علت به آن شیوه ی PAO یا Person-Action-Object گفته می شود.

برای مثال می توانیم یک مکان معروف را در نظر بگیریم مثلاً شهر سیدنی و بعد یک شخص مشهور را هم تصور کنیم برای مثال Robert De Niro (رابرت دنیرو) و حالا یک شی یا عمل را نیز در نظر گرفته و یک سناریوی اتفاقی خلق می کنیم. مانند: رابرت دنیرو در سیدنی در حال راندن یک جیپ است. (Robert De Niro is driving a jeep in Sydney).

شیوه ی به خاطر سپاری POA دارای مزایای شناخته شده یی است و در اصل ذهن ما در به یاد آوردن آیتم های ویژوال یا تصویری و سناریوهای غیر معمول به شکل جالبی موفق عمل می کند. وقتی چند سناریو با همین شیوه خلق کنید می توانید از آنها برای ایجاد یک پسورد قدرتمند استفاده نمایید.

برای مثال می توانید سه کلمه ی جیپ، رانندگی و سیدنی را در نظر بگیرید و از آنها عبارتی مانند drijSyd را خلق کنید (Driving a jeep in Sydney). سه سناریو کافیست تا پسوردی به اندازه ی کافی طولانی داشته باشید چند بار که سناریوها را یادآوری و کلمات ایجاد شده توسط آنها را به خاطر بیاورید پسورد برای همیشه در ذهن شما ماندگار خواهد شد پسوردی که تقریباً درکش برای دیگران غیر ممکن است.

 

به کار گیری حافظه ی آوایی

من نیز برای خود یک شیوه ی منحصر به فرد برای ایجاد پسوردهای یکتا دارم تا بتوانم آنها را به خاطر بسپارم. مراحل این روش عبارتند از:

۱- ابتدا به یک سایت ایجاد پسوردهای اتفاقی بروید.

۲- ۲۰ پسورد ایجاد کنید که حداقل دارای ۱۰ کاراکتر بوده و در آنها حروف بزرگ و اعداد نیز وجود داشته باشند.

۳- پسوردهای ایجاد شده را بررسی کنید و سعی کنید در ذهن خود برای آنها ساختارهایی آوایی پیدا کنید برای مثال drEnaba5Et برای من یادآورد doctor enaba 5 E.T است.

۴- حالا پسوردهایی که توانسته اید برای آنها ساختارهای آوایی ایجاد کنید را در یک فایل متنی وارد کرده و در حین تایپ کردن توجه کنید کدامیک ساده تر تایپ می شوند. هر چه یک پسورد راحت تر تایپ شود در حافظه ی آوایی شما راحت تر جای میگیرد.

۵- پسورد مناسب را که پیدا کردید الباقی موراد را کنار گذاشته و به فراموشی بسپارید.

 

گام بعدی و مهم ترین گام برای یک پسورد ایمن

4

بعد از اینکه پسورد ایمنی را برای خود ایجاد کردید هنوز یک گام بسیار بزرگ باقی مانده است که باید آن را بردارید: هرگز از یک پسورد در چند جا استفاده نکنید.

مطمئناً بسیاری از شما که زحمت خواندن این مطلب طولانی را کشیده اید ممکن است در این مرحله عصبانی یا ناراحت شده باشید. ایجاد یک پسورد یکتا و اتفاقی و بعد به خاطر سپردنش به اندازه ی کافی چالش برانگیزاست چه برسد به اینکه قرار باشد اینکار را چندین بار نیز انجام دهیم، مثلاً اگر هر روز فقط در یک وب سایت جدید عضو شویم می شود ماهی ۳۰ پسورد، واقعاً ذهن ما توان به خاطر سپردن ۳۰ پسورد یکتا برای ۳۰ سرویس متفاوت را داراست؟

روش هایی وجود دارند که می توانند تا حد زیادی این مشکل را حل کنند که در ادامه به موثرترین آنها پرداخته ایم.

 

از یک ابزار مدیریت کلمات عبور کمک بگیرید

5

ابزارهایی برای مدیریت پسوردها یا همان کلمات عبور وجود دارند که برخی از بهترینشان عبارتند از LastPass و 1Password. این ابزارها پسوردهای شما را در خود ذخیره سازی می نمایند و تنها کاری که شما لازم است انجام دهید به یاد آوردن یک مستر پسورد (Master Password) برای دسترسی به پسوردهای ذخیره شده بر روی این سرویس ها است.

برخی از این سرویس های مدیریت پسورد، به شیوه ی بسیار ایده آلی از طریق یک افزونه با مرورگر شما و یا حتی تلفن موبایلتان یکپارچه می شوند و هر بار که قصد ورود به یک سرویس را داشته باشید با گرفتن مستر پسورد نام کاربری و پسورد آن سرویس را به صورت خودکار برای شما وارد می کنند.

سرویسهای این چنینی را می توان بهترین شیوه برای به خاطر سپردن پسوردهای یکتا دانست و شاید تنها وقتی که به مشکل بر بخورید زمانی باشد که بخواهید از یک ابزار غریبه یا در مکانی که به سرویس دسترسی ندارید به یک اشتراک خود وارد شوید.

 

شیوه ی دوگانه: ابزارهای مدیریت پسورد در کنار حافظه ی انسانی

Montage of man's face with computer screen

نظر شما در مورد به کارگیری هر دو شیوه ی به خاطر سپردن به حافظه و استفاده از ابزارهای مدیریت پسورد چیست؟ پسوردهای سرویس های مهم و حیاتی را به حافظه خود سپرده و الباقی را در یک ابزار مدیریت پسورد ذخیره سازی کنید.

ممکن است اگر از سرویس هایی مثل لست پس (LastPass) برای مدیریت پسوردهای خود استفاده می کنید به دلیل غیر رایگان بودن این سرویس بر روی موبایل این شیوه بیش از پیش نیز به کار شما بیاید. پسورد سرویس های که بیشتر بر روی موبایل استفاده می کنید را به خاطر بسپارید و الباقی را به این ابزار مدیریت کلمات عبور واگذار کنید.

در انتها لازم است بدانید پسوردهای پیچیده و یکتا نیز هنوز قابل نفوذ هستند و شما هرگز نباید به خاطر به کار گیری چنین کلمات عبوری احساس امنیت صرف داشته باشید، تکنیک هایی مانند فیشینگ و تله های مرتبط به این تکنیک و روش های مشابه دیگری وجود دارند که می توانند پسورد شما را به دست افراد مهاجم برسانند و اطلاعات حیاتی شما را به مخاطره بیاندازند. استفاده از شیوه های ورودی دو مرحله یی بر روی سرویس های مهم و روش های این چنینی می تواند یک مرحله ی حفاظتی دیگر را به وجود بیاورد و البته هوشیاری شما در رابطه با اتفاقات پیرامون تان مهم ترین عامل در حفظ امینت و حریم خصوصی شما است.

مطالب مرتبط

چطور یک مهاجم می‌تواند ایمنی شبکه بی‌ سیم شما را به مخاطره بیاندازد

یکی از کارهای مهمی که باید انجام بدهید ایمن سازی شبکهء وایرلس خود با استفاده از شیوه رمز‌نگاری WPA2 است، اما با انجام اینکار شبکه شما در مقابل چه نوع حملاتی ایمن خواهد شد؟ در ادامه نگاهی خواهیم داشت به شیوه‌هایی که مهاجمین برای نفوذ به شبکه‌های وایرلس مورد استفاده قرار می‌دهند. لازم است به شما... ادامه مطلب

چهار هشدار امنیتی که در فضای وب نباید آن‌ها را نادیده بگیرید

آیا تا حالا برایتان پیش آمده که حین گشت و گذار در فضای وب یک هشدار امنیتی از مرورگر خود دریافت کنید؟ مسلما این چیزیست که همه ما حداقل یک بار آن را تجربه کرده‌ایم. اما معنی هر یک از هشدارها چیست و آیا باید به آن‌ها توجه کرد یا نه؟ ۱) سایت پیش روی شما حاوی... ادامه مطلب

مخزن لینوکس جنتو در گیت هاب هک شد

بنا بر اعلام محققانی از شرکت امنیتی سوفوس، توزیع لینوکس محبوب جِنتو مورد حمله قرار گرفت و هیچ یک از کدهای آن قابل اعتماد نبود. البته چندی بعد اعلام شد که هیچ یک از کدهای اصلی  که در اختیار مدیران قرار دارند در معرض خطر نیستند. بنا بر گفته های مدیران جنتو ماجرا از این قرار بوده که... ادامه مطلب

با GranitePhone آشنا شوید؛ تلفن هوشمند امن و ۸۴۹ دلاری Archos

شرکت فرانسوی Archos با یک کمپانی نه چندان مشهور برزیلی به نام Sikur وارد همکاری شده تا تلفن هوشمندی بسازند که از امنیت بیش از معمول برخوردار باشد. این محصول که در کنگره جهانی موبایل بارسلون رونمایی شد GranitePhone نام دارد و قیمت ۸۴۹ دلار برای پیش خرید آن در نظر گرفته شده است، رقم بالایی که بر اساس آن... ادامه مطلب

تغییر خودکار رمزهای عبور با استفاده از ویژگی‌های جدید dashlane و Lastpass

هرچند ماه یک بار خبرهای جدیدی درباره آسیب پذیری های جدید امنیتی و توصیه هایی مبنی بر تغییر کلمه عبور می شنویم. اما تغییر همه رمزهای عبور با توجه به زیاد بودن تعداد برنامه ها و سایت هایی که استفاده می کنیم مانند کابوس است. خبر خوب اینکه اپلیکیشن های مدیریت پسوردی ظاهر شده اند که... ادامه مطلب

به دنبال هک شدن سرویس LastPass، همه کاربران آن موظف به تغییر پسورد شدند

کارشناسان سرویس LastPass مدعی شده اند که روز جمعه گذشته برخی فعالیت های مشکوک صورت گرفته روی شبکه خود را شناسایی و مسدود سازی کرده اند. البته این تیم هیچگونه شواهدی دال بر اینکه داده های رمزگذاری شده کاربرانش به سرقت رفته اند یا اینکه برخی، به حساب های کاربری آن دسترسی پیدا کرده اند، در اختیار... ادامه مطلب

نظرات ۱۷

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x