آیا ابزارهای مدیریت رمز عبور، پسووردهای شما را امن نگه می‌دارند؟

اگرچه شنیدن این سوال که «آیا ابزارهای مدیریت پسوورد امن هستند؟» آنقدرها غافلگیرکننده نیست، اما اکثر متخصصین حوزه امنیت سایبری می‌گویند که این ابزارها در واقع یکی از امن‌ترین راه‌ها برای حفاظت از پسووردهای شما به حساب می‌آیند. با این وجود، هر بار که رسانه‌ها اخبار مربوط به آخرین آسیب‌پذیری‌ها یا رخنه‌های امنیتی را پوشش می‌دهند، تردیدها نسبت به دنیای امنیت و همینطور ابزارهایی که قرار است به مردم در حفاظت از حریم شخصی‌شان کمک کنند بیشتر می‌شود.

بنابراین در این مقاله نگاهی جامع به ابزارهای مدیریت پسوورد می‌اندازیم، نه بدون اینکه شما را از آن‌ها بترسانیم و نه بدون اینکه از آن‌ها بت بسازیم. تمام سوالات مهمی که ممکن است راجع به پسوورد منیجرها در ذهن‌تان شکل گرفته باشد را در پایین پوشش داده‌ایم. پسوورد منیجرها چطور از پسووردهای شما حفاظت می‌کنند؟ خطرات استفاده از یک پسوورد منیجر چیست؟ و در نهایت آیا اصلا باید از یکی از این ابزارها استفاده کرد یا خیر؟ به مطالعه ادامه دهید.

پسوورد منیجرها چطور از پسووردهای شما محفاظت می‌کنند؟

این ابزارها به اشکال مختلف قادر به حفاظت از رمزهای عبور شما هستند و دقیقا به همین خاطر، استفاده از آن‌ها امن است. اگرچه می‌توان این منیجرها را هک کرد -مثل تقریبا هر چیز دیگری- اما چنین سناریویی بسیار دور از ذهن است، البته اگر تمام تدابیر پیشگیرانه لازم را به کار گرفته باشید. معمولا هکرها ترجیح می‌دهند به سراغ تکنیک‌های مهندسی اجتماعی و فیشینگ بروند تا اینکه یک پسوورد قدرتمند را واقعا هک کنند.

حالا سوال اینست که چه چیزی به امنیت پسوورد منیجرها منجر می‌شود؟

پیش از هر چیز، پسوورد منیجرها از رمزنگاری برای حفاظت از پسووردهای شما استفاده می‌کنند. AES 256-bit یک استاندارد رمزنگاری در صنعت امنیت به حساب می‌آید که به خاطر توانمندی فراوانش، حتی مورد استفاده ارتش کشورهای مختلف نیز قرار می‌گیرد. کرک کردن رمزهای مبتنی بر AES 256-bit به اندازه یک عمر طول می‌کشد و بنابراین حملات بروت فروس عملا هیچ شانسی برای دستیابی به موفقیت ندارند.

علاوه بر این، پسوورد منیجرها به استفاده از «معماری دانش صفر» نیز می‌پردازند که باعث حفاظت هرچه بیشتر داده‌های شما از دست خودشان می‌شود. این یعنی پسووردهای شما پیش از اینکه از دیوایس‌تان خارج شوند، رمزنگاری شده‌اند و بنابراین زمانی که پسوورد سر از سرور کمپانی سازنده پسوورد منیجر در می‌آورد، هیچ ابزاری برای رمزگشایی آن‌ها وجود ندارد.

اکثر پسوورد منیجرها از شما می‌خواهند که یک «رمز عبور مادر» برای دسترسی به خزانه پسووردهایتان تعیین کنید. اگر این رمز به اندازه کافی امن باشد، خیالتان از امنیت سایر پسووردها نیز راحت خواهد بود. با این وجود، همیشه استفاده از «احراز هویت دو مرحله‌ای» هم پیشنهاد می‌شود تا امنیت دیتابیس‌تان بیش از پیش افزایش یابد. استفاده از احراز هویت بیومتریک مانند اثر انگشت یا اسکن چهره هم همیشه ایده‌ای خوب به حساب می‌آید.

در نهایت نیز پسوورد منیجرها چندین قابلیت‌ برای افزودن لایه‌های امنیتی اضافه دارند. برخی از آن‌ها به شما یادآوری می‌کنند که به صورت مداوم به تغییر پسووردها بپردازید و امنیت‌شان را افزایش دهید. برخی هم به اسکن دارک وب می‌پردازند تا ببینند آیا اطلاعات لاگین شما سر از فضای مجازی درآورده است یا خیر. برخی هم هر دو کار را انجام می‌دهند.

خطرات استفاده از یک پسوورد منیجر چیست؟

هیچ راهی برای تضمین امنیت ۱۰۰ درصدی شما در دنیای آنلاین وجود ندارد. حتی اگر از یک پسوورد منیجر قابل اعتماد استفاده کنید هم خطراتی وجود دارد که باید از آن‌ها باخبر باشید.

تمام اطلاعات حساس در یک نقطه هستند. احتمالا شنیده‌اید که نباید تمام تخم مرغ‌ها را در یک سبد نگه داشت. اما با استفاده از یک پسوورد منیجر، دقیقا عکس این کار را انجام داده‌اید. این سبد به احتمال زیاد حاوی اطلاعات کارت اعتباری و اطلاعات حساس متنی نیز باشد. در صورت وقوع یک رخنه امنیتی، مسدود کردن تمام گزینه‌های پرداختی و تغییر پسوورد تمام اکانت‌ها ممکن است آنقدر زمان ببرد که مهاجم در آسودگی خاطر قادر به دنبال کردن اهدافش باشد.

بکاپ همواره در دسترس نیست. اگر سرور به هر دلیلی از کار بیفتد، تنها امیدی که خواهید داشت اینست که سرویس‌دهنده پیشتر از اطلاعات سرور بکاپ گرفته باشد. این خطر زمانی تشدید می‌شود که تصمیم گرفته باشید مخزن پسووردها روی یک دیوایس را آفلاین نگه دارید. طبیعتا بکاپ گرفتن روی یک دیسک درایو محافظت نشده یا سرویس‌های ابری ضعیف از لحاظ امنیتی هم کمکی به ماجرا نخواهد کرد.

تمام دیوایس‌ها به اندازه کافی امن نیستند. هکرها از یک آسیب‌پذیری واحد برای دست آوردن تمام اطلاعات لاگین شما از طریق تنها یک حمله استفاده می‌کنند. اگر دیوایس شما به بدافزار آلوده باشد، با تایپ کردن پسوورد مادر باعث می‌شود دسترسی تمام و کمال به اطلاعات‌تان برای هکرها امکان‌پذیر شود. به همین خاطر است که کاربران ابزارهای مدیریت پسوورد باید پیش از هرچیز و برای کاهش خطرات، نخست به ایمن‌سازی دستگاه مورد استفاده خود بپردازند.

عدم استفاده از احراز هویت بیومتریک. احراز هویت بیومتریک راهی معرکه برای افزودن یک لایه امنیتی دیگر است. اگر تنظیمات پسوورد منیجر را به گونه‌ای تغییر دهید که خواستار اسکن اثر انگشت یا چهره شود، به احتمال زیاد خطر هک شدن مخزن پسووردتان به کمترین میزان ممکن خواهید رسد. ضمنا اسکن اثر انگشت کاری به مراتب راحت‌تر از وارد کردن پسوورد مادر به حساب می‌آید.

استفاده از پسوورد منیجرهای ضعیف. اگر پسوورد منیجر مورد نظرتان از استانداردهای رمزنگاری ضعیف بهره می‌برد، قابلیت‌های اندکی دارد و نقدهای منفی دریافت کرده، به هیچ وجه نباید از آن استفاده کنید. وقتی صحبت از محافظت از مخزن پسووردهایتان باشد، صرفه‌جویی در هزینه‌ها را باید به دست فراموشی بسپارید.

فراموش کردن پسوورد مادر. آیا شما تنها کسی هستید که پسوورد مادر را می‌دانست و پسوورد منیجرتان هم قابلیت ریست ندارد؟ در این صورت باید برای پیدا کردن رمزهای عبور هر اکانت به صورت دانه به دانه آماده شوید. به صورت جایگزین، بهتر است پسوورد مادر را در جایی فیزیکی نگهداری کنید تا این اتفاق وحشتناک هیچوقت دامن‌گیرتان نشود.

همانطور که می‌توان دید، برخی خطرات مربوط به خود ابزارهای مدیریت هستند و برخی دیگر ناشی از رفتارهای کاربران. اما اگر رفتارهای کاربران را فاکتور بگیریم، متوجه خواهیم شد که استفاده از یک پسوورد منیجر خطرات چندانی به همراه نمی‌آورد.

آیا می‌توان به پسوورد منیجرها اعتماد کرد؟

علی‌رغم تمام نگرانی‌هایی که بالاتر لیست کرده‌ایم، پسوورد منیجرهای خوب به سختی به خطر می‌افتند. استفاده از رمزنگاری AES-256، تکنیک «دانش صفر» و امکان بهره‌گیری از احراز هویت دو مرحله‌ای باعث می‌شود پسوورد منیجرها ابزارهایی شدیدا امن به حساب آیند و کارکردی ساده‌تر از هر آن چیز دیگری که اکنون در اختیار داریم داشته باشند.

وقتی صحبت از امنیت باشد، مهم‌ترین نکته‌ای که به شما مربوط می‌شود، میزان امنیت پسوورد مادر است، زیرا از این پسوورد برای دسترسی یافتن به دیگر پسووردهایتان استفاده خواهید کرد. بنابراین از استفاده از یک رمز عبور قدرتمند اطمینان حاصل کنید. چنین رمزی باید حداقل ۱۲ کاراکتر باشد، شامل سمبل‌های گوناگون شود و به هیچ وجه نتوان آن را حدس زد.

کدام نوع از پسوورد منیجرها امنیت بیشتری دارند؟

آن دسته از کاربرانی که پیشتر از ابزارهای مدیریت پسوورد استفاده کرده‌اند قطعا می‌دانند که در مجموع سه نوع پسوورد منیجر داریم که هرکدام مزایا و معایب خاص خود را به همراه می‌آورند. بیایید هر نوع از این ابزارها را به صورت جداگانه بررسی کنیم.

پسوورد منیجرهای مبتنی بر مرورگر

• امنیت:‌ امن
• مزایا: استفاده آسان، رایگان
• معایب: عدم همگام‌سازی روی تمام مرورگرها، عدم تولید پسوورد در برخی ابزارها، عدم سنجش امنیت پسوورد در برخی ابزارها
• نمونه‌ها: پسوورد منیجرهای داخلی مرورگرهایی مانند کروم، فایرفاکس و سافاری

اگر امنیت را به رمزنگاری و احراز هویت دو مرحله‌ای تقلیل دهیم، پسوورد منیجرهای مبتنی بر مرورگر ابزارهایی بسیار امن به حساب می‌آیند. اما هرچه بیشتر به موضوع نگاه کنید، پسوورد منیجرهای مبتنی بر مرورگر امنیت کمتری خواهند داشت. در وهله اول، این ابزارها تنها روی یک مرورگر خاص کار می‌کنند. اگر تصمیم بگیرید از سافاری به سراغ کروم یا فایرفاکس بروید، در روند انتقال داده به مشکل خواهید خورد. علاوه بر این، هیچ‌ راهی برای همگام‌سازی مخزن پسووردها با مرورگری دیگر وجود ندارد. تمام این‌ها باعث می‌شود که پسووردهایتان را در یک لوکیشن نه‌چندان امن داشته باشید.

از طرف دیگر، برخی از پسوورد منیجرهای مبتنی بر مرورگر قابلیت تولید پسوورد ندارند. بدون این قابلیت، تمام پسووردها باید به صورت دستی ساخته شوند. و در نهایت پسوورد منیجرهای موجود در مرورگرها نمی‌توانند رمزهای عبور ضعیف یا تکراری را شناسایی کنند. آیا می‌خواهید ببینید که اطلاعات لاگین‌تان سر از دارک وب درآورده‌اند یا خیر؟ در این صورت یا باید شرایط را به صورت دستی بررسی کنید یا به سراغ ابزاری جداگانه بروید.

پسوورد منیجرهای ابری

• امنیت: بالا
• مزایا: استفاده آسان، دسترسی آسان از هر جا، بکاپ‌گیری ابری، متکی بر اتصال اینترنت
• معایب: عدم کنترل بر امنیت مخزن پسووردها، اطلاعات شما درون سرورهای شخص‌ ثالث ذخیره می‌شود
• نمونه‌ها: Zoho Vault و LastPass

در قیاس با پسوورد منیجرهای مبتنی بر مرورگر، ابزارهای مدیریت پسوورد ابری امنیت بالاتری دارند و همراه با قابلیت‌های بیشتری برای بهبود امنیت از راه می‌رسند. برای شروع، این ابزارها می‌توانند از مخزن پسووردهای شما بکاپ بگیرند. در صورتی که اتفاقی برای سرور بیفتد نیز می‌توانید آخرین ورژن از دیتابیس خود را احیا کنید.

علاوه بر این، پسوورد منیجرهای ابری به شما اجازه می‌دهند که نه‌تنها پسووردها، بلکه نوشته‌ها و جزییات کارت‌های بانکی که نیاز به حفاظت دارند را نیز ذخیره کنید. به این ترتیب قادر به محافظت از تمام اطلاعات حساس خود خواهید بود. از سوی دیگر این ابزارها قادر به تشخیص پسووردهای ضعیف یا تکراری، تولید پسووردهای قدرتمند و بررسی لو رفتن اطلاعات اکانت شما در رخنه‌های امنیتی هستند.و در آخر باید افزود که پسوورد منیجرهای ابری با چندین مرورگر و سیستم عامل مختلف سازگاری دارند. این یعنی لازم نیست نگران انتقال داده درون دیتابیس به شکلی امن باشید.

پسوورد منیجرهای دسکتاپ

• امنیت: بالاترین
• مزایا: امن‌ترین گزینه، نیازی به اینترنت ندارد
• معایب: عدم دسترسی از طریق هر دستگاه دیگری، سیستم اشتراک‌گذاری پسوورد پیچیده، نیاز به بکاپ‌گیری دستی
• نمونه‌ها: Biwarden ،KeePass و 1Password

پسوورد منیجرهای دسکتاپ «می‌توانند» امن‌ترین گزینه باشند، اما بخشی از ماجرا به کاربر و رفتارهای او بستگی دارد. این ابزارها اطلاعات شما را به صورت محلی ذخیره می‌کنند، آن هم روی تنها یک دیوایس. دیوایس مورد نظر نیازی به اتصال به اینترنت ندارد و بنابراین احتمال هک شدن می‌تواند به کمترین میزان ممکن برسد. محتمل‌ترین سناریو (و در عین حال شدیدا نامحتمل) اینست که یک کی‌لاگر از دستگاه‌تان سر در می‌آورد و با تایپ پسوورد مادر، اطلاعات به دست مهاجمین می‌افتند. اما با استفاده از احراز هویت بیومتریک هم می‌توان این تهدید را دفع کرد.

بدیهتا این تکنولوژی هم مثل هر تکنولوژی دیگری معایب خود را دارد که عمدتا به ذات خود پسوورد منیجرهای دسکتاپ مرتبط هستند. پیش از هر چیز، باید دائما به بکاپ‌گیری از پسووردها بپردازید، زیرا زمانی که دستگاه به هر دلیلی دچار مشکل شود، مخزن پسووردها را نیز برای همیشه از دست خواهید داد. علاوه بر این، قادر به دسترسی یافتن به پسووردها از طریق دیوایسی دیگر نیستند و اشتراک‌گذاری رمزها هم کاری آسان به حساب نمی‌آید.

چه می‌شود اگر پسوورد منیجر شما هک شود؟

در اکثر موارد، هک شدن باعث نمی‌شود که تمام پسووردهایتان به دست افراد اشتباه بیفتند. با این همه، حتی امن‌ترین پسوورد منیجرها هم ممکن است یک آسیب‌پذیری جدی داشته باشند که همه آن را نادیده گرفته‌اند. بیایید کار را با این حقیقت شروع کنیم که پسووردهای شما به صورت محلی رمزنگاری می‌شوند. پسوورد منیجرها هیچ راهی برای رمزگشایی دیتای شما ندارند چون از تکنیک دانش صفر پیروی می‌کنند. بنابراین وقتی یک هکر وارد مخزن پسووردهایتان می‌شود نیز تنها اطلاعات رمزنگاری شده را مشاهده خواهد کرد.

اما یک شانس کوچک وجود دارد که مهاجم بتواند با ربودن دیوایس یا استفاده از بدافزار و کی‌لاگرها وارد شود. حتی آن موقع هم مهاجم باید پسوورد مادر را در اختیار داشته باشد. اگر از داده‌های بیومتریک مانند اثر انگشت یا اسکن چهره استفاده کرده باشید، شانس یک حمله موفقیت‌آمیز به شکلی نامحدود کوچک خواهد شد.

اگر مهاجم روی دیوایس شما بدافزار نصب کرد، بهترین کار اینست که سیستم عامل را مجددا نصب کنید و تمام پسووردهای موجود در مخزن را تغییر دهید. از سوی دیگر، از فعال‌سازی احراز هویت دو مرحله‌ای هم اطمینان حاصل کنید. در این صورت زمانی که یک درخواست مشکوک به اپلیکیشن احراز هویت بیاید، متوجه شرایط خواهید شد.

آیا پسوورد منیجرهای پریمیوم امن هستند؟

اکثر پسوورد منیجرهای پریمیوم و پولی، به مراتب امن‌تر از دیگر نمونه‌های رایگان به حساب می‌آیند. نمونه‌های رایگان معمولا باگ‌های فراوان دارند، توسط شرکت‌های نامعتبر توسعه یافته‌اند و گاهی حتی شامل بدافزار هستند. با این وجود، چند پسوورد منیجر رایگان هم داریم که به اندازه سرویس‌های پولی امن ظاهر می‌شوند. از سوی دیگر، بسیاری از همان سرویس‌های پولی هم یک ورژن رایگان دارند. بنابراین بهتر است که به مقایسه گزینه‌های مختلف پرداخته و ببینید کدام سرویس از کدام قابلیت‌ها بی‌بهره است.

معمولا هم پسوورد منیجرهای رایگان و هم نمونه‌های پولی از رمزنگاری سطح نظامی و معماری دانش صفر استفاده می‌کنند. این یعنی هیچ راهی برای رمزگشایی اطلاعات از سوی مهاجمینی که به دیتابیس دسترسی می‌یابند نیست. ضمنا خود سرویس‌دهنده هم به کلید لازم برای باز کردن قفل اطلاعات دسترسی ندارد. به همین خاطر است که در نهایت همه‌چیز به پسوورد مادر، احراز هویت دو مرحله‌ای و عاری نگه داشتن سیستم از هرگونه بدافزار بازمی‌گردد.