به گزارش پایگاه خبری اوشیدا: شما هم بیشک رازی دارید که میتواند زندگی شما را زیر و رو کند و از این راز بهخوبی نگهداری نمیکنید! تنها رشتهای از کاراکترها (اگر بیمبالات باشید حدود ۶ کاراکتر و اگر خیلی محتاط باشید ۱۶ کاراکتر) میتواند همه چیز را درباره شما آشکار کند!
آدرس ایمیلتان، حساب بانکیتان، آدرس پستی و شماره کارت اعتباری، عکسهای شما یا بستگانتان، موقعیت دقیق محلی که هماکنون در آن نشستهاید، همه از جمله مواردی هستند که با یک رشته کاراکتر ساده قابل کشف هستند! از آغاز عصر اطلاعات تاکنون، ما همواره با این ایده روبهرو بودهایم که یک گذرواژه با طول مناسب، ابزاری مناسب برای محافظت از تمام این دادههای ارزشمند است. اما این روزها، این موضوع دیگر صحت ندارد، بلکه یک فانتزی و ایدهای تمامشده است و هرکس که هنوز چنین ادعایی دارد یا نادان است یا شما را نادان میپندارد. گذرواژههای شما، هرچقدر پیچیده و هرچقدر یکتا باشند، دیگر نمیتوانند از شما محافظت کنند.
هر چهارچوب امنیتی برای استفاده در شرایط دنیای واقعی باید در دو چیز با کاربران مصالحه کند. نخستین موضوع راحتی کاربران است. امنترین سیستم، در صورتی که استفاده از آن بسیار دشوار باشد، هیچ فایدهای نخواهد داشت. الزام کاربر به وارد کردن یک گذرواژه ۲۵۶ حرفی مبنای ۱۶ میتواند دادههای شما را امن نگه دارد، اما هیچ کاربری حاضر به لاگین یا استفاده از این سیستم نخواهد بود. دستیابی به امنیت بیشتر در صورتی که بخواهید کاربران را آزار داده و تحت فشار قرار دهید، بهسادگی امکانپذیر خواهد بود. اما چنین شیوهای کار نخواهد کرد.
مصالحه دوم، حریم خصوصی است. اگر تمام سیستم طراحی شده باشد که دادهها را امن نگهدارد، کاربران به سختی با روشی کنار خواهند آمد که حریم خصوصی آنها را مورد تعرض قرار دهد. یک گاوصندوق جادویی را برای منزلتان در نظر بگیرید که به هیچ گذرواژه یا کلیدی احتیاج نداشته باشد. چرا که کارشناسان امنیت ۲۴ ساعت روز و ۷ روز هفته در خانه شما حضور دارند و گاوصندوق را زمانی که مطمئن شوند خود شما به محتویاتش نیاز دارید، برایتان باز میکنند. بدون حریم خصوصی، میتوانیم امنیت کامل را برقرار کنیم، اما هیچکس چنین سیستمی را نخواهد پذیرفت.
دههها است که این مصالحهها شرکتهای وبی را میترسانند. آنها میخواستند که فرآیند وارد شدن به حساب کاربری و استفاده از خدماتشان، هم کاملاً خصوصی و امن و هم بسیار ساده به نظر برسند. درست همانچیزی که امنیت کامل را تقریباً غیرممکن میکند. درنتیجه آنها به راهکار گذرواژههای قدرتمند روی آوردند. آن را به حد کافی طولانی کنید، چند حرف بزرگ و عدد در آن وارد کنید و در آخر آن علامت تعجب بگذارید و همه چیز خوب پیش خواهد رفت.
اما سالها است که این روش مناسب و کارآمد نبوده است. در دوران الگوریتمها، زمانی که لپتاپ ما توان پردازشی بیش از ایستگاههای کاری یک دهه قبل دارند، شکستن یک گذرواژه با تلاش کور، تنها به چند میلیون چرخه اضافی از پردازنده احتیاج دارد. این تازه بدون درنظر گرفتن روشهای جدید هک برای سرقت گذرواژهها یا دور زدن کامل آنها است. اینها روشهایی هستند که طول زیاد یا پیچیدگی گذرواژه نمیتواند در برابر آن مقاومت کند. میزان نفوذ به اطلاعات در ایالاتمتحده در سال ۲۰۱۱ حدود ۶۷ درصد بیشتر شده است و هر نفوذ اطلاعاتی مهم، بسیار گران تمام میشود: پس از آنکه پایگاه داده حسابهای پلیاستیشن سونی هک شد، شرکت مجبور شد ۱۷۱ میلیون دلار را صرف بازسازی شبکهاش و حفاظت از کاربران دربرابر سرقت هویت کند. اگر هزینه کل را در نظر بگیریم که شامل کسبوکارهای نابود شده هم میشود، میبینیم که یک هک واحد میتواند به یک مصیبت چند میلیارد دلاری تبدیل شود.
گذرواژههای آنلاین ما چگونه لو میروند؟ این کار به هر طریقی که فکر کنید ممکن است رخ دهد. گذرواژههای ما حدس زده میشوند، از فایل dump گذرواژهها استخراج میشوند، با تلاش کور شکسته میشوند، توسط یک keylogger سرقت میشوند یا با گول زدن دپارتمان خدمات مشتریان یک شرکت بزرگ بازنشانی میشوند.
بیایید با یک هک ساده یعنی حدس زدن شروع کنیم. مشخص است که بیاحتیاطی بزرگترین ریسک امنیتی است. بهرغم اینکه سالها است به مردم گفته میشود که از گذرواژههای ساده و قابل حدس زدن استفاده نکنند، آنها این کار را میکنند. وقتی که مارک برنت (Mark Burnett) با استفاده از منابع در دسترس (نظیر جستوجو در گوگل یا فایل dump گذرواژهها که هکرها در اینترنت منتشر میکنند) فهرستی از ۱۰ هزار گذرواژه پرکاربرد را تهیه کرد، متوجه شد که رتبه نخست این فهرست به کلمه password تعلق دارد! دومین گذرواژه پرکاربرد؟ رشته اعداد ۱۲۳۴۵۶! اگر شما از گذرواژه سادهای مانند اینها استفاده میکنید، بهدستآوردن حسابکاربری شما هیچ کاری نخواهد داشت. ابزارهای نرمافزاری رایگانی نظیر Cain & Abel یا John the Ripper فرآیند شکستن گذرواژهها را تا حدی ساده میکنند که حتی یک کودک هم از پس آن برمیآید. تنها چیزی که لازم است یک اتصال اینترنتی و فهرستی از گذرواژههای پرکاربرد است؛ که چنین فهرستهایی هم به سادگی و در قالبهای معمول پایگاههای داده، در اینترنت یافت میشوند.
نکته تکاندهنده این نیست که مردم هنوز از این گذرواژهها استفاده میکنند، بلکه این است که برخی شرکتها هنوز اجازه استفاده از چنین گذرواژههایی را میدهند. همان فهرست گذرواژههای پرکاربردی که برای شکستن گذرواژهها استفاده میشود، را میتوان برای حفظ امنیت کاربران به کار برد و از همان ابتدا اجازه نداد که کاربران چنین گذرواژههایی را مورد استفاده قرار دهند. اما ترک دادن عادات بد ما برای پذیرفتن گذرواژه به عنوان یک مکانیسم امنیتی کافی نیست.
دیگر اشتباه رایج استفاده دوباره از گذرواژهها است. در دو سال گذشته بیش از ۲۸۰ میلیون هش (hash فهرستی رمزنگاری شده اما آماده شکستن از گذرواژهها) بهصورت آنلاین منتشر شدهاند که هر کسی میتواند آنها را ببیند. سایتهای LinkedIn، Yahoo، Gawker و eHarmony همه شاهد نفوذهای امنیتی بودهاند که باعث به سرقت رفتن نامهای کاربری و گذرواژههای میلیونها نفر و انتشار آنها در فضای وب شده است. مقایسهای که میان دو مورد از فایلهای dump این سایتها انجام گرفت، نشان داد که ۴۹ درصد مردم از نام کاربری و گذرواژههای یکسانی در این سایتها استفاده کردهاند.
دیانا اسمترز (Diana Smetters) یکی از مهندسان نرمافزار گوگل که روی سیستمهای تشخیص هویت کار میکند، میگوید: «استفاده دوباره از گذرواژهها چیزی است که شما را به ورطه نابودی میبرد. اقتصاد کارآمدی وجود دارد که در آن این اطلاعات را خرید و فروش میکنند.» غالب هکرهایی که dump گذرواژهها را روی وب منتشر میکنند، آدمهای بهنسبت خوبی هستند. آدمهای بد گذرواژهها را دزدیده و به سرعت آن را در بازار سیاه به فروش میرسانند. اطلاعات لاگین شما، ممکن است خیلی وقت پیش لو رفته باشد، و شما از آن بیخبر باشید تا زمانی که همان حسابکاربری یا حسابهایی با اطلاع مشابه را از دست بدهید.
هکرها از طریق گول زدن ما نیز ممکن است به گذرواژهها دست پیدا کنند. شناختهشدهترین روش در این زمینه فيشينگ است. در این روش هکر ظاهر سایتهای مشهور را شبیهسازی کرده و کاربر را وادار میکند اطلاعات لاگین را وارد کند. استیون داونی (Steven Downey) مدیر ارشد اطلاعات شرکت Shipley Energy در پنسیلوانیا توضیح میدهد که چگونه این روش باعث لو رفتن حسابهای آنلاین یکی از اعضای هیئت مدیره شرکت در بهار گذشته شده است. این عضو هیئت مدیره از گذرواژهای طولانی با حروف بزرگ و کوچک و اعداد برای حفاظت از ایمیلش در سایت AOL استفاده میکرد. اما اگر بتوانید صاحب گذرواژه را وادار کنید آن را برای شما تایپ کند، نیازی نیست آن را با تلاش کور بشکنید.
این هکر کار خود را به این صورت پیش برد: او ایمیلی را برای این عضو هیئت مدیره فرستاد. این ایمیل محتوی لینکی به یک صفحه AOL شبیهسازی شده بود که از او میخواست اطلاعات لاگیناش را وارد کند و او این کار را کرد! اما پس از آن هکر اقدام دیگری انجام نداد. تنها وارد حساب ایمیل او شده و همه ایمیلهای او را برای شناختن بیشتر قربانیاش مطالعه کرد. او فهمید که این عضو هیئت مدیره از خدمات کدام بانکداری آنلاین استفاده میکند و همینطور فهمید که او حسابداری دارد که کارهای مالیاش را ردیف میکند. او حتی شیوه نگارش و رفتار دیجیتال او را یاد گرفت و فهمید ایمیلها و چتهایش را چگونه شروع یا تمام میکند. تازه اینجا بود که او واردعمل شد و از طرف قربانی ایمیلی برای حسابدارش فرستاد و تقاضای انجام سه انتقال آنلاین پول به یکی از بانکهای استرالیا را کرد که جمع مبلغ آنها ۱۲۰هزار دلار بود. پیش از آشکار شدن این نفوذ، حسابدار او ۸۹ هزار دلار را واریز کرده بود!
چگونه از فاجعه گذرواژهها جان سالم به در ببریم
تا زمانی که راه بهتری برای محافظت از دادههای آنلاینمان پیدا کنیم، در اینجا ۴ اشتباه را که نباید در مورد گذرواژهها انجام دهید به شما یادآوری میکنیم و همینطور از ۴ راهکاری صحبت میکنیم که باعث میشوند نفوذ به حسابهای شما سختتر (اما نه غیرممکن) شوند.
نبایدها
•هیچگاه از گذرواژههایتان دوباره استفاده نکنید. اگر این کار را بکنید، هکری که به یکی از حسابهای شما دست پیدا کند، تمام آنها را دراختیار خواهد داشت.
•هیچگاه از کلمات معمول که در فرهنگ لغات یافت میشوند استفاده نکنید. اگر مجبور شدید چند لغت را به هم بچسبانید تا یک عبارت طولانیتر ساخته شود.
•از جایگذاری معمول اعداد بهجای حروف خودداری کنید. فکر میکنید P۴۵۵wOrd گذرواژه مناسبی است؟ نه! ابزارهای نفوذ این قابلیتهای جایگذاری را بهصورت توکار دارند.
•از گذرواژههای کوتاه استفاده نکنید. مهم نیست که چقدر دشوار باشد، سرعت پردازشی کنونی به این معنا است که حتی گذرواژههایی مانند h۶!r$q هم بهسادگی قابل شکستن هستند. بهترین دفاع شما طولانیترین گذرواژه ممکن است.
بایدها
•در هرجایی که ممکن است از اعتبارسنجی دو مرحلهای استفاده کنید. وقتی که از مکانهای ناشناس به حسابتان لاگین میکنید، سیستمهای اعتبارسنجی دو مرحلهای کد تأییدی را بهصورت پیامک به دست شما میرسانند تا فرآیند لاگین را کامل کنید. بله، به این سیستمها هم میتوان نفوذ کرد، اما به هر حال از هیچ بهتر است.
•برای پرسشهای امنیتی جوابهای عجیب و غریب تعیین کنید. به آنها به دید یک گذرواژه ثانویه نگاه کنید. فقط جوابهایتان باید قابل حفظ کردن باشند. نخسیتن ماشینتان؟ جواب مثلاً باید این باشد: Camper Van Beethoven Freaking Rules
•همه اطلاعاتتان را در فضای مجازی آشکار نکنید. سادهترین راه نفوذ به یک حساب کاربری، از طریق ایمیل و آدرس پرداخت صورتحسابهایتان است. سایتهایی مانند Spokeo یا WhitePage روشهایی برای حذف اطلاعات شما از پایگاههای دادهشان فراهم آوردهاند.
•از یک ایمیل یکتا و امن برای بازیابی گذرواژههایتان استفاده کنید. اگر هکر بداند که لینکهای بازیابی گذرواژه شما به کدام آدرس میرسند، این آدرس به خط مقدم حمله تبدیل خواهد شد. پس یک حساب کاربری باز کنید و از آن برای هیچ یک از تماسهایتان استفاده نکنید. همچنین مطمئن شوید که از یک نام کاربری استفاده کردهاید که هیچ ربطی به نام واقعیتان ندارد. به این ترتیب، این حساب بهسادگی قابل حدس زدن نخواهد بود.