چرا نام های کاربری و کلمات عبور یک شیوه امنیتی نامطلوب و قدیمی محسوب می شوند؟
پسوردها امروزه بخش مهمی از زندگی ما را تشکیل می دهند؛ تصور کردن فضای مجازی بدون آن ها غیر ممکن است. با این حال اگر در مورد ایده ی استفاده از کلمات عبور کمی بیاندیشیم متوجه ...
پسوردها امروزه بخش مهمی از زندگی ما را تشکیل می دهند؛ تصور کردن فضای مجازی بدون آن ها غیر ممکن است. با این حال اگر در مورد ایده ی استفاده از کلمات عبور کمی بیاندیشیم متوجه نا امن بودنشان خواهیم شد. با این که بسیاری از متخصصان امنیت به این موضوع آگاهی دارند اما هنوز بخش مهمی از فعالیت های اینترنتی ما ملزم به استفاده از پسورد هستند.
با هر بار هک شدن یک کارت اعتباری و یا یک وب سایت بیشتر مشخص می شود که نمی توان بر روی آنها به عنوان یک راه حل امنیتی موثر تکیه داشت. اما به غیر از کلمات عبور از چه روشی دیگری می توان استفاده کرد؟
چرا استفاده از پسورد ها رواج یافت؟
رومیان باستان برای تشخیص هویت افراد و مقام آن ها از اسم شب استفاده می کردند. علاوه بر این، اسم شب برای ورود به محل های مخفی و خصوصی نیز به کار می رفت. این اسامی رمز شباهت بسیاری به کلمات عبور امروزی شباهت و سعی میشد با تغییر هر روزه ی آنها سطح امنیت بالاتر برود.
معمولا اسامی شب شامل یک رمز عبور و یا ضربه هایی از پیش تعیین شده می گشتند، بدین ترتیب که فردی سوال خاصی را مطرح می کرد و منتظر شنیدن پاسخ مقرر آن میشد.
به عنوان مثال، در جنگ های جهانی نورماندی (Normandy)، سربازان امریکایی به هنگام رویارویی با سایر گروه ها کلمه ی Flash را بر زبان می آوردند و در صورتی که کلمه Thunder از جهت دیگر اعلام می شد، آنها به خودی بودن دسته ی مقابل پی می بردند. به کمک این روش به شکلی جدی از ورود جاسوسان به درون ارتش امریکا جلوگیری می گشت.
پسوردهای رایانه ای نیز از همین اسم شب های ارتش سرچشمه می گیرند، با این تفاوت که برای هر نام کاربری کلمه ی عبور خاصی در نظر گرفته می شود. اما در مجموع عمر استفاده از این تکنیک امنیتی به بیش از هزاران سال می رسد.
در ادامه با دیجیاتو همراه شوید تا با دلایل قدیمی شدن شیوه ی محافظتی کلمات عبور و روش های جایگزین آن بیشتر آشنا شوید.
پسوردها امن نیستند
در این موضوع که پسوردها در زمینه امنیت کمک بزرگی به ما کرده اند شکی نیست، با این حال نمی توان آن ها را بی نقص و کاملاً ایمن دانست. در واقع کلمات عبور یک عیب بزرگ و برطرف نشدنی دارند، کاربران اغلب زمان زیادی برای انتخاب یک عبارت رمز قدرتمند صرف می نمایند تا در نهایت از امنیت فایل ها و اطلاعات خود مطمئن می شوند. اما به محض این که فردی از کلمه ی رمز آن ها مطلع شود، تمام زمان صرف شده و نکات مد نظر قرار گرفته بی ارزش خواهند شد. در یک کلام، استفاده از پسوردها امنیت نه چندان مستحکمی را برای کاربران فراهم می آورد.
آیا استفاده از سوالات امنیتی مشکل ما را حل می کند؟ راه حل بسیاری از بانک ها و سرویس های معتبر، استفاده از این گونه سوالات است، ولی اگر کمی دقت کنید متوجه می گرذیذ که این سوالات در واقع گونه ای مشابه از پسورد ها اما در شکل و شمایل متفاوت هستند. در واقع سوالات امنیتی نیز همانند کلمات عبور دچار ضعف های جدی امنیتی هستند.
از جمله دیگر مشکلات و ضعف های به کارگیری شیوه ی محافظتی پسورد در اینترنت می توان به موارد زیر اشاره کرد:
- بیشتر کاربران نمی خواهند پسوردهای طولانی و پیچیده ای را به خاطر بسپارند و معمولا از عبارات ساده ای به عنوان کلمه ی عبور خود استفاده می کنند که به راحتی می توان آن ها را حدس زد.
- اکثر افراد از یک رمز عبور برای تمامی اکانت های خود استفاده می کنند، به عبارتی یک شاه کلید برای باز کردن تمام قفل های خود می سازند.
- بسیاری از کاربران پسورد خود را مخفی نگه نمی دارند و معمولا آن را با دوستان، اعضای خانواده و یا حتی افراد ناشناس به اشتراک می گذارند و بسیار راحت به هر کسی در این زمینه اعتماد می نمایند.
- کلمات عبور در مقابل بدافزارهایی موسوم به کی لاگر (Keylogger) که به ثبت آنها در حین وارد کردنشان توسط کاربران می پردازند دارای ضعف جدی بوده و البته سو استفاده از اطلاعات کاربران توسط بد افزارهای مذکور فقط به کامپیوترها ختم نشده و ماشین های خودپرداز بانکی نیز هر از گاهی قربانی آنها بوده اند.
بهترین راهکار پیشنهادی چیست؟
تایید هویت دو عاملی (Two-Factor Authentications) امروزه محبوبیت خوبی را در بین کاربران پیدا کرده است. برخلاف استفاده از پسورد و سوالات امنیتی که اصلا امن به نظر نمی رسند، این نوع تایید هویت از درجه امنیت به مراتب بالاتری برخوردار است. در استفاده از این روش کاربر با استفاده از اطلاعاتی از قبیل پسورد و کد ارسال شده به تلفن همراه خود، وارد اکانت مربوطه می شود. استفاده از اثر انگشت نیز در این روش تا حد زیادی رایج است.
آنچه گفته شد دقیقا همان مسیری است که امنیت رایانه ای باید به سمتش تغییر جهت دهد. شیوه های یاد شده غیر قابل نفوذ بوده و مستلزم حضور فیزیکی فرد جهت شناسایی وی هستند.
در یک شیوه ی مشابه فلش های USB می توانند به کلید های فیزیکی برای ورود به یک حریم شخصی بدل شوند. این ایده هنوز آنچنان فراگیر نشده است اما مطمئنا کاربرد های خوبی را به همراه خواهد داشت، به عنوان مثال، تنها زمانی که فلش USB به رایانه متصل باشد امکان ورود به ایمیل کاربر برای او محیا می شود.
علاوه بر موارد ذکر شده، استفاده از ویژگی های خاص انسانی (به عنوان مثال، اثر انگشت و چهره) برای تایید هویت یکی دیگر از بخش هایی است که نیاز به تامل بیشتری دارد. به عنوان مثال استفاده از وب کم برای تشخیص چهره افراد، اثر انگشت و یا تشخیص عنبیه چشمان همگی از ضرایب امنیتی بالایی برخوردارند.
البته مشکلاتی در استفاده از روش های مذکور نیز وجود دارد؛ باید مواردی همچون اشتباهات رایانه ای، قطع عضو بدن و یا التهاب چشم نیز مد نظر قرار گیرد. همچنین این نوع سیستم تایید هویت باید در مقابل جاسوسان، صداهای ضبط شده و تصاویر گرفته شده مقاوم بوده و به راحتی فریب نخورد.
در آخر، برخی استفاده از چیپست های RFID و دستگاه های NFC را به جای پسورد پیشنهاد می کنند. اما متاسفانه این دو روش نیز از امنیت کاملی برخوردار نبوده و قابل اطمینان نیستند؛ چیپست های RFID قابل نفوذ هستند و همچنین دستگاه های NFC نیز امنیت بالایی را ارائه نمی دهند.
از همین رو فعلا مجبور به استفاده از پسوردها هستیم تا رفته رفته روش های یاد شده به همراه شیوه های ایمن تری که در آینده ارائه خواهند شد جایگزین این نوع محافظت سنتی گردند و به همین خاطر پیشنهاد می کنیم از پسوردهای پیچیده و امن استفاده نکرده و آن ها را در اختیار دیگران قرار ندهید.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
سلام میشه راهنمایی ام کنید یکی رمز منو هک کرده چطور عوض کنم بدون ایمیل
یا چگونه ایمیلمو وارد کنم از اول واردنکردم
اثر انگشت داره کم کم رواج پیدا میکنه و از یه نظر خیلی خوبه ولی برای اون هم یه راهی پیدا میشه .
.................................................................................................
برنامه app bounty برای ios و اندروید اومده اینم لینکش که 50 تا کردیت میتونین با کد دعوتش بگیرید : http//abo.io/bacnyfgy
از usb خیلی استفاده می کنم !! حتی برای باز کردن دیجیاتو !!
دست مریزاد میگم به غشر زحمت کش هکرها که امنیتی نگزاشتن واسه مردم!
هر چیزی قابل دور زدنه ..........رمز که چیزی نیست!
تایید دو مرحله ای میتونه مفیدترین عاملی باشه که باعث،میشه هیچوقت یه کاربر اطلاعاتش دست کسی نیوفته و حتی اگر هک شد هم نمیتونه به اطلاعات دست پیدا کنه طرف هکر
روش دو مرحله ای امن نیست به این خاطر که که وقتی فرد قربانی وارد وبسایت جعلی میشود، از وی درخواست میشود که برای عضویت در بخش جدید وبسایت از طریق یکی از حسابهای خود (شامل فیسبوک، گوگل، یاهو و ویندوز لایو) حسابی در وبسایت جعلی اما با ظاهر واقعی باز کند.
زمانی که فرد قربانی بر روی یکی از این گزینهها کلیک میکند، به صفحه جعلیای ورود به حساب فیسبوک، گوگل، یاهو و ویندوز لایو فرستاده میشود. فرد قربانی بدون آنکه متوجه شود، مشخصات ورود به حسابش را که شامل نام کاربردی و رمز عبور است وارد میکند و به این صورت هکر مرحله اول دسترسی به حساب وی را به دست میآورد.
نکتهای که در اینجا نباید فراموش شود آن است که هنگامی که فرد قربانی بر روی دکمه Sign In (وارد شدن) صفحه جعلی ورود به جیمیل کلیک میکند، یک درخواست ورود به وبسایت واقعی جیمیل نیز ارسال میشود که در نتیجه گوگل کد ورود دو مرحلهای را به تلفن همراه فرد قربانی ارسال میکند.
در اینجا مرحله دوم نفوذ به حساب قربانی آغاز میشود که در آن صفحه جعلی ورود دو مرحلهای به وی نشان داده میشود و کاربر بدون آنکه متوجه جعلی بودن آن شود، کد ورود دو مرحلهای را وارد میکند که در حقیقت این کد را برای هکر وارد میکند.
زمانی که هکر این دو مورد (رمز عبور و کد ورود دو مرحلهای) را بدست میآورد، به سرعت وارد جیمیل میشود و ورود دو مرحلهای حساب وی را غیرفعال میکند.