چگونه می توان بین لزوم انتخاب رمز عبور امن و توانایی به خاطر سپردن آن تعادل بوجود آورد؟
هر بار که در امنیت حساب های کاربری مشکلی بوجود می آید این سوال را می پرسم. وقتی حادثه ی Heartbleed بصورت داوطلبانه افشا شد، همه ی کاربران باید لزوما رمز عبور خود را سریعا عوض می کردند. عوض کردن رمز عبور هنوز در لیست کارهایی که باید انجام دهم وجود دارد. حتی فکر کردن به اینکه ممکن است هک شوم ناخوشایند به نظر می رسد ولی عوض شدن رمز های عبور مورد علاقه ام به انرژی روانی و زمان بسیاری نیاز دارد به همین دلیل این کار هم به نظر ناخوشایند می رسد.
آیا شما هم به همین صورت هستید؟
اگر سیستمی طراحی کرده اید تا بتوانید رمز عبوری متمایز، راحت و غیر قابل پیش بینی داشته باشید باید بگویم که به شما افتخار می کنم چون با توجه به برخی بررسی ها شما در دسته ی 8% از کاربران قرار گرفته اید که از یک رمز عبور واحد برای تمام حساب های کاربری استفاده نمی کنند.
بقیه ی ما هنوز به دنبال یک راه حل هستیم و همه ی ما می دانیم که انتخاب یک رمز عبور امن واقعا ضروری است. ولی چطور می توانیم تمام این رمز عبور های پیچیده را خلق کنیم و در عین حال تمام آن ها را به خاطر بسپاریم؟
آناتومی یک رمز عبور امن
هر چه تعداد حرف های تشکیل دهنده ی رمز عبور بیشتر باشد شکسته شدن آن توسط هکر مشکل تر می شود.
- رمز عبوری با 12 حرف یا بیشتر انتخاب کنید.
- مواردی که باید از استفاده از آن خودداری شود. اسامی، اماکن و کلمات دیکشنری.
- مخلوط کنید. با بزرگ و کوچک شدن حروف و اعداد رمز عبور را از حالت عادی پیچیده تر کنید.
این سه قانون باعث می شوند که رمز عبور شما تحت هیچ شرایطی به دست هکر نرسد. روش هایی که توسط هکر ها برای رسیدن به رمز عبور شما استفاده می شود پیشرفت کرده است و به سطوح بسیار بالایی رسیده در نتیجه باید رمز عبوری خلق کنید که غیر عادی به نظر برسد.
یک مثال از پیشرفت های هکر ها:
هکر ها از واژه نامه های متعددی استفاده می کنند: کلمات انگلیسی،نام ها، کلمات خارجی، الگوهای آوایی و برای قسمت های دیگر رمز عبور: اعداد دو رقمی، تاریخ، علائم. برای اینکه به رمز عبور هدف دست پیدا کنند تمام حروف را کوچک و بزرگ می کنند بعلاوه از علائم هم استفاده می کنند مثلا به جای s از $، به جای a از @ و به جای l از 1 استفاده می کنند. این استراتژی می تواند حدود دو سوم از رمز های عبور را برملا کند.
نگاهی به رمز عبور در وبسایت هایی مانند Adobe نشان داده که ما چقدر از رمز های عبور نا امن استفاده می کنیم. آن ها توانستند گروهی از پر مصرف ترین رمز های عبور نا مناسب را در این بررسی پیدا کنند. بدون شک از استفاده از این کلمات و عبارات خودداری کنید:
123456
123456789
password
admin
12345678
qwerty
1234567
111111
photoshop
123123
1234567890
000000
abc123
1234
adobe1
macromedia
azerty
iloveyou
aaaaaa
654321
اگر کنجکاو شده اید که بدانید رمز عبوری که انتخاب کرده اید به قدر کافی امن هست یا خیر می تواند از چک کننده های رمز عبور آنلاین مانند OnlineDomainTools استفاده کنید. برای نشان دادن اهمیت طول رمز عبور، کلمات تکراری و کلمات خاص، چک کننده ی آنلاین بخش هایی در اختیار شما قرار می دهد که انواع متنوعی از رمز عبور شما را نمایش می دهد. همچنین مدت زمانی که لازم است که یک هکر به آن دست پیدا کند هم به شما اعلام می شود.
به عنوان مثال رمز عبور bre7E$ret98:!aZ را در نظر بگیرید.
چهار روش برای انتخاب یک رمز عبور امن
تنها مشکل انتخاب یک رمز عبور غیر قابل پیش بینی این است که معمولا به خاطر سپردن آن ها کار مشکلی است. اگر واقعا قصد دارید حروف کاملا بی ربط را در کنار هم قرار دهید و هیچ نظمی برای ترتیب آن ها در نظر نگرفته اید، پس شما هم برای به خاطر سپردن آن به اندازه ی کسی که قصد دارد شما را هک کند با مشکل مواجه می شوید.
پس باید به دنبال رمزی بگردید که برای شما معنا دارد ولی برای برنامه ی هکر ها غیر قابل پیش بینی است. 4 روش برای این کار وجود دارد.
شیوه ی بروس:
بروس که در زمینه ی امنیت مهارت دارد در سال 2008 یک شیوه برای انتخاب رمز عبور طراحی کرد و هنوز هم استفاده از این روش را پیشنهاد می کند. این روش به این صورت است که باید یک جمله انتخاب کنید و آن را به رمز عبور تبدیل کنید.
جمله ای که انتخاب می کنید می تواند شخصی و مرتبط با شما باشد. کلمات را از جمله ی مورد نظر خارج کنید و آن ها را به شیوه ای خاص با هم ترکیب کنید تا یک رمز عبور شکل گیرد. اینجا دو نمونه آورده شده که من آن ها را به رمز عبور تبدیل کردم.
تیم پرسپولیس برنده ی مسابقه ی فوتبال شد -> tpbmfsh (حروف اول هر کلمه در جمله)
کجاست؟ گلابی من کجاست؟ -> k?gmk?
شیوه ی الکتروم:
برای اینکه بتوانید یک کیف پول بیت کوین را مدیریت کنید نیازمند امنیت بالا و داشتن اعتماد به رمز عبور امن هستید. به الکتروم وارد شوید. کیف پول الکتروم یک عبارت 12 کلمه ای در اختیار شما قرار می دهد که از طریق آن می توانید به تمام بیت کوین ها دسترسی پیدا کنید. در واقع این عبارت به عنوان یک رمز عبور اصلی برای تمام بیت کوین ها محسوب می شود.
در این حالت به رمز عبور، عبارت عبور گفته می شود و شیوه ی جدیدی از امنیت را فراهم می کند. به جای به خاطر سپردن یک مشت حرف نا مربوط می توانید این عبارت را به حافظه بسپارید.
تذکر: بروس می گوید که هکر ها می توانند گروهی از کلمات را به دنبال هم قرار دهند تا عبارت عبور را پیدا کنند در نتیجه اگر قصد دارید از این شیوه استفاده کنید عبارت مورد نطر را تا جایی که ممکن است طولانی در نظر بگیرید.
ایده ی انتخاب عبارت عبور ابتدا از این نقاشی گرفته شده بود:
حالا چطور می توانیم یک عبارت 12 کلمه ای در نظر بگیریم؟ انجام دادن آن بسیار ساده است. 12 کلمه را پشت سر هم قرار دهید.
می توانید یک جمله مانند این جمله انتخاب کنید: حتی در زمستان هم سگ ها با جاروی همسایه ها بازی می کنند. اطمینان حاصل کنید که جمله ای که انتخاب می کنید ساده نباشد و یا آن را عینا از جایی برنداشته باشید.
روش دیگر این است که 12 کلمه ی نامربوط را پشت سر هم بچینید. وقتی این رمز عبور را در چک کننده قرار می دهید عبارت بالا نشان می دهد که اگر یک هکر بخواهد به رمز عبور شما دسترسی پیدا کند حدود 238,378,158,171,207 سال زمان لازم دارد.
شیوه ی PAO:
تکنیک های به خاطر سپردن و ابزار های حفظی می توانند به شما کمک کنند یک رمز عبور پیچیده و امن را حفظ کنید. حداقل این یک تئوری ست که دانشمندان کامپیوتری دانشگاه کارنگی آن را ارائه داده اند و معتقد هستند که با شیوه ی فردی_عملی یا PAO می توانید رمز های عبوری امن خلق کنید و آن ها را با موفقیت به حافظه بسپارید.
این شیوه با چاپ شدن در کتاب قدم زدن روی ماه با انیشتین معروف شد و بطور کلی به این صورت انجام می پذیرد:
یک عکس از یک منطقه ی زیبا انتخاب کنید. (مثل کوهستان)
یک عکس از یک فرد آشنا و یا معروف انتخاب کنید.
تصور کتید آن فرد با استفاده از یک شی عمل خاصی انجام می دهد. (فرد ایکس با یک خودروی قدیمی در جاده های کوهستانی رانندگی می کند)
شیوه ی به خاطر سپردن PAO مزایایی شناختی بسیاری دارد. مغز ما با استفاده از تصاویر قابلیت یادآوری بهتری دارد و می تواند برای به خاطر آوردن نکات عجیب و غریب یا داستان های غیر عادی به دنبال سرنخ بگردد.
به محض اینکه توانستید با این روش داستان خلق کنید و آن را به حافظه بسپارید قادر هستید از این طریق رمز عبور تعیین کنید.
به عنوان مثال می توانید سه حرف اول هر کلمه را جدا کنید و آن را بهم بچسبانید. برای جملات دیگر هم از همین شیوه استفاده کنید و در نهایت از هر جمله یک عبارت 18 حرفی برای شما باقی می ماند که برای دیگران هیچ مفهمومی ندارد.
حافظه ی آوانگاری:
من توانستم یک سیستم رمز عبور شخصی تشکیل دهم و با استفاده از آن در طول زمان از رمز عبورهایی پیچیده، غیر عادی و پیچیده استفاده کنم. این روش به ابزار های یادآوری وابسته است و به صورت زیر عمل می کند:
- به یک وبسایت معمولی ساخت رمز عبور وارد شوید.
- ۲۰ رمز عبور جدید خلق کنید که هر کدام حداقل 10 حرف دارند و در آن ها از اعداد هم استفاده شده است.
- رمز های عبور را اسکن کنید و به دنبال ساختار هایی آوایی بگردید. بطوری که بتوانید آن ها را به حافظه بسپارید.
رمز های عبور را بنویسید و ببینید نوشتن آن ها تا چه اندازه ساده است و می توانید با چه سرعتی آن ها را تایپ کنید. رمز عبوری که انتخاب کردید را پرینت کنید و بقیه را از بین ببرید.
به نوبت در تمام وبسایت هایی که مرتبا از آن ها استفاده می کنید رمز عبورتان را تغییر دهید. بعد از یک یا دوبار وارد کردن آن ها قادر هستید آن را به خاطر بسپارید یا به عبارتی مانند سیمان در مغز شما خشک می شود. من با استفاده از این روش می توانم رمز های عبوری که سال ها پیش استفاده می کردم را به یاد بیاورم.
مهم ترین اقدام برای داشتن رمز عبوری امن
بعد از انتخاب یک رمز عبور فوق العاده امن هنوز یک قدم مهم و بزرگ باقی می ماند: هیچ گاه از یک رمز عبور چند بار استفاده نکنید.
ممکن است با این بخش به مشکل بر بخورید. خلق و به خاطر سپردن یک رمز عبور خاص به اندازه ی کافی مشکل است. اگر بخواهید این کار را چند بار انجام دهید دیگر واقعا طاقت فرسا می شود. ممکن است هر روز به یک وبسایت جدید وارد شوم و ثبت نام کنم. یعنی باید در هر ماه 30 رمز عبور جدید حفظ کنم و متاسفانه مغز من نمی تواند تمام آن ها را در خود جای دهد.
چطور می توانیم کاری کنیم که هم از رمز عبوری خاص استفاده کنیم، در تمام وبسایت ها از یک رمز عبور استفاده نکنیم، با سرعت و راحت به سایت ها وارد شویم و دکمه ی رمز عبورم را فراموش کرده ام را کلیک نکنیم؟
این جا نقطه ایست که امنیت و کاربرد به هم می رسند. خوشبختانه راه حل های زیادی وجود دارد تا از پس این دغدغه بر بیایید.
برای یک ابزار مدیریت رمز عبور ثبت نام کنید
در بهترین حالت برای کنار آمدن با رمز های عبور جدید می توانید از برنامه هایی مانند LastPass و 1Password استفاده کنید. همچنین هنگام نیاز رمز عبور جدید از آن ها دریافت کنید.
تنها کاری که لازم است انجام دهید این است که یک رمز عبور اصلی که شما را به اطلاعات می رساند را به خاطر بسپارید. رمز عبور اصلی را وارد کنید و ابزار مدیریت رمز عبور بقیه ی کار ها را به تنهایی انجام می دهد.
بعضی از این ابزار های مدیریت رمز عبور به خوبی با مرورگر یا روی یک تلفن همراه فعال می شوند. داده های رمز گذاری شده با امنیت کامل ذخیره می شوند (ابزار ها تا جایی که یک برنامه ی آنلاین قابلیت دارد امن هستند) و رمز عبور می تواند به راحتی بازیابی شود.
در هر شرایطی استفاده از ابزار مدیریت رمز عبور بهترین انتخاب است. فقط در صورتی ممکن است سبب ناراحتی شما شود که به این سرویس دسترسی نداشته باشید و یا از یک ابزار دیگر برای وارد شدن به آن تلاش کنید.
ابتکاری ترین رمز های عبورتان را برای مهم ترین ابزار ها، اپلیکیشن ها و وبسایت ها استفاده کنید
یک استراتژی دیگری که به آن رسیده ام این است که در صورتیکه تا جایی که مغزتان گنجایش دارد به حفظ کردن رمز عبور بپردازید می توانید حافظه تان را تقویت کنید.
ابتکاری ترین رمز ها را برای ایمیل، فیسبوک، توییتر و بانک استفاده کنید. از یک رمز عبور معمولی ولی غیر قابل پیش بینی برای دیگر بخش های کم اهمیت تر استفاده کنید.
ریسکی که در این حالت وجود دارد این است که اگر یکی از حساب های کاربری کم اهمیت شما در معرض خطر قرار بگیرد، همه ی آن ها در ریسک بزرگی هستند. تمام حساب های کاربری مهم شما از جمله ایمیل، سایت های اجتماعی و بانک در امنیت باقی می مانند ولی حساب های کاربری کم اهمیت شما به بقیه ی دوستان شما اطلاع می دهند که شما میوه دوست دارید. این حادثه اصلا جالب نیست.
هیبرید: مدیریت رمز عبور بعلاوه به خاطر سپردن آن
بهتر است این دو شیوه را ادغام کنید. برای حساب های کاربری مهمی که بیشتر از بقیه استفاده می کنید از حافظه تان کمک بگیرید و برای بقیه ی موارد که کمتر هم استفاده می شوند از برنامه هایی مانند 1Password استفاده کنید.
یا از نگاهی دیگر می توانید رمز های عبوری را حفظ کنید که معمولا در شرایطی به آن نیاز پیدا می کنید که برنامه هایی مانند 1Password در دسترس شما نیستند. مثلا وقتی از اپلیکیشن تلفن همراه استفاده می کنید.
نکات دیگر برای یک رمز عبور امن
اگر وبسایتی برای وارد شدن شما دو فیلتر قرار می دهد حتما از آن استفاده کنید. در این حالت درصورتیکه بخواهید از یک کامپیوتر جدید به وبسایت مورد نظر وارد شوید یک پیام کوتاه به شما فرستاده می شود.
اگر می خواهید یک رمز عبور را به اشتراک بگذارید می توانید از سایتی مانند OneTimeSecret استفاده کنید. این سایت با استفاده از یک لینک شما را به صفحه ای می برد که رمز عبور شما در آن نوشته شده. (یا هرگونه اطلاعات دیگری که لازم دارید) سپس بعد از یک بار باز شدن صفحه کاملا از بین می رود.
اگر از کامپیوتر های عمومی استفاده می کنید save passwords یا remember me را انتخاب نکنید.
درصورتیکه رمز عبور را روی کاغذ نوشتید از آن مراقبت کنید و یا در جای امنی مثل گاوصندوق نگهداری کنید.
تنها وقتی حس می کنید که امنیت شما در معرض خطر افتاده رمز های عبور را تغییر دهید. عوض کردن مداوم رمز عبور نمی تواند به امن ماندن حساب کاربری شما کمکی کند.