به گزارش پایگاه خبری اوشیدا: شما هم بی‌شک رازی دارید که می‌تواند زندگی شما را زیر و رو کند و از این راز به‌خوبی نگه‌داری نمی‌کنید! تنها رشته‌ای از کاراکترها (اگر بی‌مبالات باشید حدود ۶ کاراکتر و اگر خیلی محتاط باشید ۱۶ کاراکتر) می‌تواند همه چیز را درباره شما آشکار کند!
آدرس ایمیل‌تان، حساب بانکی‌تان، آدرس پستی و شماره کارت اعتباری، عکس‌های شما یا بستگان‌تان، موقعیت دقیق محلی که هم‌اکنون در آن نشسته‌اید، همه از جمله مواردی هستند که با یک رشته کاراکتر ساده قابل کشف هستند! از آغاز عصر اطلاعات تا‌کنون، ما همواره با این ایده روبه‌رو بوده‌ایم که یک گذرواژه با طول مناسب، ابزاری مناسب برای محافظت از تمام این داده‌های ارزشمند است. اما این روزها، این موضوع دیگر صحت ندارد، بلکه یک فانتزی و ایده‌ای تمام‌شده است و هرکس که هنوز چنین ادعایی دارد یا نادان است یا شما را نادان می‌پندارد. گذرواژه‌های شما، هرچقدر پیچیده و هرچقدر یکتا باشند، دیگر نمی‌توانند از شما محافظت کنند.

هر چهارچوب امنیتی برای استفاده در شرایط دنیای واقعی باید در دو چیز با کاربران مصالحه کند. نخستین موضوع راحتی کاربران است. امن‌ترین سیستم، در صورتی که استفاده از آن بسیار دشوار باشد، هیچ فایده‌ای نخواهد داشت. الزام کاربر به وارد کردن یک گذرواژه ۲۵۶ حرفی مبنای ۱۶ می‌تواند داده‌های شما را امن نگه دارد، اما هیچ کاربری حاضر به لاگین یا استفاده از این سیستم نخواهد بود. دستیابی به امنیت بیشتر در صورتی که بخواهید کاربران را آزار داده و تحت فشار قرار دهید، به‌سادگی امکان‌پذیر خواهد بود. اما چنین شیوه‌ای کار نخواهد کرد.
مصالحه دوم، حریم خصوصی است. اگر تمام سیستم طراحی شده باشد که داده‌ها را امن نگه‌دارد، کاربران به سختی با روشی کنار خواهند آمد که حریم خصوصی آن‌ها را مورد تعرض قرار دهد. یک گاوصندوق جادویی را برای منزل‌تان در نظر بگیرید که به هیچ گذرواژه یا کلیدی احتیاج نداشته باشد. چرا که کارشناسان امنیت ۲۴ ساعت روز و ۷ روز هفته در خانه شما حضور دارند و گاوصندوق را زمانی که مطمئن شوند خود شما به محتویاتش نیاز دارید، برای‌تان باز می‌کنند. بدون حریم خصوصی، می‌توانیم امنیت کامل را برقرار کنیم، اما هیچ‌کس چنین سیستمی را نخواهد پذیرفت.
دهه‌ها است که این مصالحه‌ها شرکت‌های وبی را می‌ترسانند. آن‌ها می‌خواستند که فرآیند وارد شدن به حساب کاربری و استفاده از خدمات‌شان، هم کاملاً خصوصی و امن و هم بسیار ساده به نظر برسند. درست همان‌چیزی که امنیت کامل را تقریباً غیرممکن می‌کند. درنتیجه آن‌ها به راه‌کار گذرواژه‌های قدرتمند روی آوردند. آن را به حد کافی طولانی کنید، چند حرف بزرگ و عدد در آن وارد کنید و در آخر آن علامت تعجب بگذارید و همه چیز خوب پیش خواهد رفت.
اما سال‌ها است که این روش مناسب و کارآمد نبوده است. در دوران الگوریتم‌ها، زمانی که لپ‌تاپ ما توان پردازشی بیش از ایستگاه‌های کاری یک دهه قبل دارند، شکستن یک گذرواژه با تلاش کور، تنها به چند میلیون چرخه اضافی از پردازنده احتیاج دارد. این تازه بدون درنظر گرفتن روش‌های جدید هک برای سرقت گذرواژه‌ها یا دور زدن کامل آن‌ها است. این‌ها روش‌هایی هستند که طول زیاد یا پیچیدگی گذرواژه نمی‌تواند در برابر آن مقاومت کند. میزان نفوذ به اطلاعات در ایالات‌متحده در سال ۲۰۱۱ حدود ۶۷ درصد بیشتر شده است و هر نفوذ اطلاعاتی مهم، بسیار گران تمام می‌شود: پس از آن‌که پایگاه داده حساب‌های پلی‌استیشن سونی هک شد، شرکت مجبور شد ۱۷۱ میلیون دلار را صرف بازسازی شبکه‌اش و حفاظت از کاربران دربرابر سرقت هویت کند. اگر هزینه کل را در نظر بگیریم که شامل کسب‌وکارهای نابود شده هم می‌شود، می‌بینیم که یک هک واحد می‌تواند به یک مصیبت چند میلیارد دلاری تبدیل شود.
گذرواژه‌های آنلاین ما چگونه لو می‌روند؟ این کار به هر طریقی که فکر کنید ممکن است رخ دهد. گذرواژه‌های ما حدس زده می‌شوند، از فایل dump گذرواژه‌ها استخراج می‌شوند، با تلاش کور شکسته می‌شوند، توسط یک keylogger سرقت می‌شوند یا با گول زدن دپارتمان خدمات مشتریان یک شرکت بزرگ بازنشانی می‌شوند.
بیایید با یک هک ساده یعنی حدس زدن شروع کنیم. مشخص است که بی‌احتیاطی بزرگ‌ترین ریسک امنیتی است. به‌رغم این‌که سال‌ها است به مردم گفته می‌شود که از گذرواژه‌های ساده و قابل حدس زدن استفاده نکنند، آن‌ها این کار را می‌کنند. وقتی که مارک برنت (Mark Burnett) با استفاده از منابع در دسترس (نظیر جست‌وجو در گوگل یا فایل dump گذرواژه‌ها که هکرها در اینترنت منتشر می‌کنند) فهرستی از ۱۰ هزار گذرواژه پرکاربرد را تهیه کرد، متوجه شد که رتبه نخست این فهرست به کلمه password تعلق دارد! دومین گذرواژه پرکاربرد؟ رشته اعداد ۱۲۳۴۵۶! اگر شما از گذرواژه ساده‌ای مانند این‌ها استفاده می‌کنید، به‌دست‌آوردن حساب‌کاربری شما هیچ کاری نخواهد داشت. ابزارهای نرم‌افزاری رایگانی نظیر Cain & Abel یا John the Ripper فرآیند شکستن گذرواژه‌ها را تا حدی ساده می‌کنند که حتی یک کودک هم از پس آن برمی‌آید. تنها چیزی که لازم است یک اتصال اینترنتی و فهرستی از گذرواژه‌های پرکاربرد است؛ که چنین فهرست‌هایی هم به سادگی و در قالب‌های معمول پایگاه‌های داده، در اینترنت یافت می‌شوند.
نکته تکان‌دهنده این نیست که مردم هنوز از این گذرواژه‌ها استفاده می‌کنند، بلکه این است که برخی شرکت‌ها هنوز اجازه استفاده از چنین گذرواژه‌هایی را می‌دهند. همان فهرست گذرواژه‌های پرکاربردی که برای شکستن گذرواژه‌ها استفاده می‌شود، را می‌توان برای حفظ امنیت کاربران به کار برد و از همان ابتدا اجازه نداد که کاربران چنین گذرواژه‌هایی را مورد استفاده قرار دهند. اما ترک دادن عادات بد ما برای پذیرفتن گذرواژه به عنوان یک مکانیسم امنیتی کافی نیست.
دیگر اشتباه رایج استفاده دوباره از گذرواژه‌ها است. در دو سال گذشته بیش از ۲۸۰ میلیون هش (hash فهرستی رمزنگاری شده اما آماده شکستن از گذرواژه‌ها) به‌صورت آنلاین منتشر شده‌اند که هر کسی می‌تواند آن‌ها را ببیند. سایت‌های LinkedIn، Yahoo، Gawker و eHarmony همه شاهد نفوذهای امنیتی بوده‌اند که باعث به سرقت رفتن نام‌های کاربری و گذرواژه‌های میلیون‌ها نفر و انتشار آن‌ها در فضای وب شده است. مقایسه‌ای که میان دو مورد از فایل‌های dump این سایت‌ها انجام گرفت، نشان داد که ۴۹ درصد مردم از نام کاربری و گذرواژه‌های یکسانی در این سایت‌ها استفاده کرده‌اند. 



دیانا اسمترز (Diana Smetters) یکی از مهندسان نرم‌افزار گوگل که روی سیستم‌های تشخیص هویت کار می‌کند، می‌گوید: «استفاده دوباره از گذرواژه‌ها چیزی است که شما را به ورطه نابودی می‌برد. اقتصاد کارآمدی وجود دارد که در آن این اطلاعات را خرید و فروش می‌کنند.» غالب هکرهایی که dump گذرواژه‌ها را روی وب منتشر می‌کنند، آدم‌های به‌نسبت خوبی هستند. آدم‌های بد گذرواژه‌ها را دزدیده و به سرعت آن را در بازار سیاه به فروش می‌رسانند. اطلاعات لاگین شما، ممکن است خیلی وقت پیش لو رفته باشد، و شما از آن بی‌خبر باشید تا زمانی که همان حساب‌کاربری یا حساب‌هایی با اطلاع مشابه را از دست بدهید.
هکرها از طریق گول زدن ما نیز ممکن است به گذرواژه‌ها دست پیدا کنند. شناخته‌شده‌ترین روش در این زمینه فيشينگ است. در این روش هکر ظاهر سایت‌های مشهور را شبیه‌سازی کرده و کاربر را وادار می‌کند اطلاعات لاگین را وارد کند. استیون داونی (Steven Downey) مدیر ارشد اطلاعات شرکت Shipley Energy در پنسیلوانیا توضیح می‌دهد که چگونه این روش باعث لو رفتن حساب‌های آنلاین یکی از اعضای هیئت مدیره شرکت در بهار گذشته شده است. این عضو هیئت مدیره از گذرواژه‌ای طولانی با حروف بزرگ و کوچک و اعداد برای حفاظت از ایمیلش در سایت AOL استفاده می‌کرد. اما اگر بتوانید صاحب گذرواژه را وادار کنید آن را برای شما تایپ کند، نیازی نیست آن را با تلاش کور بشکنید.
این هکر کار خود را به این صورت پیش برد: او ایمیلی را برای این عضو هیئت مدیره فرستاد. این ایمیل محتوی لینکی به یک صفحه AOL شبیه‌سازی شده بود که از او می‌خواست اطلاعات لاگین‌اش را وارد کند و او این کار را کرد! اما پس از آن هکر اقدام دیگری انجام نداد. تنها وارد حساب ایمیل او شده و همه ایمیل‌های او را برای شناختن بیشتر قربانی‌اش مطالعه کرد. او فهمید که این عضو هیئت مدیره از خدمات کدام بانکداری آنلاین استفاده می‌کند و همین‌طور فهمید که او حسابداری دارد که کارهای مالی‌اش را ردیف می‌کند. او حتی شیوه نگارش و رفتار دیجیتال او را یاد گرفت و فهمید ایمیل‌ها و چت‌هایش را چگونه شروع یا تمام می‌کند. تازه اینجا بود که او واردعمل شد و از طرف قربانی ایمیلی برای حسابدارش فرستاد و تقاضای انجام سه انتقال آنلاین پول به یکی از بانک‌های استرالیا را کرد که جمع مبلغ آن‌ها ۱۲۰هزار دلار بود. پیش از آشکار شدن این نفوذ، حسابدار او ۸۹ هزار دلار را واریز کرده بود!



چگونه از فاجعه گذرواژه‌ها جان سالم به در ببریم

تا زمانی که راه بهتری برای محافظت از داده‌های آنلاین‌مان پیدا کنیم، در اینجا ۴ اشتباه را که نباید در مورد گذرواژه‌ها انجام دهید به شما یادآوری می‌کنیم و همین‌طور از ۴ راه‌کاری صحبت می‌کنیم که باعث می‌شوند نفوذ به حساب‌های شما سخت‌تر (اما نه غیرممکن) شوند.

نبایدها

•هیچ‌گاه از گذرواژه‌های‌تان دوباره استفاده نکنید. اگر این کار را بکنید، هکری که به یکی از حساب‌های شما دست پیدا کند، تمام آن‌ها را در‌اختیار خواهد داشت.

•هیچ‌گاه از کلمات معمول که در فرهنگ‌ لغات یافت می‌شوند استفاده نکنید. اگر مجبور شدید چند لغت را به هم بچسبانید تا یک عبارت طولانی‌تر ساخته شود.

•از جایگذاری معمول اعداد به‌جای حروف خودداری کنید. فکر می‌کنید P۴۵۵wOrd گذرواژه مناسبی است؟ نه! ابزارهای نفوذ این قابلیت‌های جایگذاری را به‌صورت توکار دارند.

•از گذرواژه‌های کوتاه استفاده نکنید. مهم نیست که چقدر دشوار باشد، سرعت پردازشی کنونی به این معنا است که حتی گذرواژه‌هایی مانند h۶!r$q هم به‌سادگی قابل شکستن هستند. بهترین دفاع شما طولانی‌ترین گذرواژه ممکن است.

بایدها

•در هرجایی که ممکن است از اعتبارسنجی دو مرحله‌ای استفاده کنید. وقتی که از مکان‌های ناشناس به حساب‌تان لاگین می‌کنید، سیستم‌های اعتبارسنجی دو مرحله‌ای کد تأییدی را به‌صورت پیامک به دست شما می‌رسانند تا فرآیند لاگین را کامل کنید. بله، به این سیستم‌ها هم می‌توان نفوذ کرد، اما به هر حال از هیچ بهتر است.

•برای پرسش‌های امنیتی جواب‌های عجیب و غریب تعیین کنید. به آن‌ها به دید یک گذرواژه ثانویه نگاه کنید. فقط جواب‌هایتان باید قابل حفظ کردن باشند. نخسیتن ماشین‌تان؟ جواب مثلاً باید این باشد: Camper Van Beethoven Freaking Rules

•همه اطلاعات‌تان را در فضای مجازی آشکار نکنید. ساده‌ترین راه نفوذ به یک حساب کاربری، از طریق ایمیل و آدرس پرداخت صورت‌حساب‌های‌تان است. سایت‌هایی مانند Spokeo یا WhitePage روش‌هایی برای حذف اطلاعات شما از پایگاه‌های داده‌شان فراهم آورده‌اند.

•از یک ایمیل یکتا و امن برای بازیابی گذرواژه‌های‌تان استفاده کنید. اگر هکر بداند که لینک‌های بازیابی گذرواژه شما به کدام آدرس می‌رسند، این آدرس به خط مقدم حمله تبدیل خواهد شد. پس یک حساب کاربری باز کنید و از آن برای هیچ یک از تماس‌های‌تان استفاده نکنید. همچنین مطمئن شوید که از یک نام کاربری استفاده کرده‌اید که هیچ ربطی به نام واقعی‌تان ندارد. به این ترتیب، این حساب به‌سادگی قابل حدس زدن نخواهد بود.