رمزهای عبور: نحوه انجام صحیح آنها: 10 مرحله

2024 نویسنده: John Day | [email protected]. آخرین اصلاح شده: 2024-01-30 08:57

در اوایل سال جاری ، همسرم دسترسی به برخی از حساب های خود را از دست داد. رمز عبور وی از یک سایت نقض شده گرفته شد ، سپس از آن برای ورود به حساب های دیگر استفاده شد. تا زمانی که سایتها شروع به اطلاع رسانی از ورود ناموفق به سیستم کردند ، متوجه شد که همه چیز در جریان است.

همچنین با تعدادی از افراد صحبت کرده ام که می گویند برای هر سایتی از رمز عبور یکسانی استفاده می کنند. این دو مورد برای تحریک من در نوشتن این دستورالعمل کافی بوده است.

امنیت گذرواژه بخش بسیار کوچکی از امنیت آنلاین به طور کلی است. تقریباً هر حساب برای ورود به هر چیزی که از آن محافظت می کند به نوعی ورود نیاز دارد. آن رشته واحد اغلب چیزی است که بین یک مهاجم و اطلاعات شخصی شما ، پول ، تصاویر شخصی یا آن نقاط مسافرتی که سالها جمع آوری کرده اید ، قرار دارد.

این دستورالعمل با هدف پوشش برخی از بهترین شیوه ها برای ایجاد گذرواژه ها انجام می شود. اگر فردی هستید که برای هر وب سایتی رمز عبور یکسانی دارید ، گذرواژه هایی که الگوی صفحه کلید هستند یا کلمه "رمز عبور" را در رمز عبور خود دارید ، این دستورالعمل برای شما مناسب است.

سلب مسئولیت

من کارشناس امنیت نیستم. این اطلاعات در طول زمان آموخته و مورد تحقیق قرار گرفته است و تنها توصیه و خلاصه ای از یک موضوع بسیار پیچیده است. این آموزش در ابتدای سال 2018 نوشته شده است و ممکن است تا زمان مطالعه آن منسوخ شده باشد.

TL ؛ DR

اگر به همه استدلال ها و توضیحات من در مورد گذرواژه ها اهمیتی نمی دهید و فقط راهی آسان برای ایجاد رمزهای امن می خواهید ، به آخرین مرحله بروید.

مرحله 1: طولانی کنید

طول یکی از م componentلفه های بسیار مهم برای امنیت رمز عبور است. با افزایش سرعت رایانه ها ، می توان رمزهای عبور را با سرعت شگفت انگیزی امتحان کرد. به این می گویند شکستن رمز عبور "brute-force". این همه ترکیب ممکن از شخصیت ها را به هم گره می زند تا زمانی که ترکیب مورد نظر را پیدا کنید.

از نظر تئوری ، با توجه به زمان کافی ، هرگونه رمز عبور قابل شکستن است. خوشبختانه هرچه رمز عبور طولانی تر باشد ، این نوع حمله بیشتر طول می کشد. هر کاراکتری که به طول اضافه کنید ، سختی را بسیار سخت تر می کند. اگر به اندازه کافی طولانی باشد ، ده ها سال طول می کشد تا به این طریق پیدا شود ، که باعث می شود برای مهاجم ارزش نداشته باشد.

مثال

فرض کنید شما یک رمز عبور دارید که فقط حروف بزرگ است. این ایده خوبی نیست ، اما این فقط برای اهداف تصویرسازی است. هر بار که یک کاراکتر دیگر به رمز اضافه می کنید ، تعداد رمزهای عبور ممکن را در 26 ضرب می کند. اگر یک رمز عبور 1 کاراکتری داشتید ، 26 رمز عبور احتمالی داشت ، 2 کاراکتر 676 رمز عبور ممکن بود ، و غیره. این به سرعت شروع به برف زدن می کند به

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

همانطور که می بینید ، هر حرفی که اضافه می کنید این حمله را با کاراکترهای کافی بسیار سخت تر و عملاً غیرممکن می کند. به یاد داشته باشید ، این فقط با حروف بزرگ است. هنگامی که پیچیده تر می شوند ، این اثر بزرگتر می شود.

مرحله 2: آن را پیچیده کنید

پیچیدگی یکی دیگر از عوامل مهم در امنیت رمز عبور است. در صورت نقض وب سایت ، احتمالاً نام کاربری و رمزهای عبور حذف می شوند. به عنوان یک سطح امنیتی اولیه ، امیدوارم وب سایت قبل از ذخیره رمزهای عبور (مشابه رمزگذاری) را هش کرده باشد. این بدان معنی است که آنها قبل از ورود به پایگاه داده دچار خرابی شده اند و راهی برای معکوس کردن این خرابکاری وجود ندارد.

این همه خوب به نظر می رسد. مهم نیست که رمز عبور شما چیست زیرا خراب شده است ، درست است؟ اگر گذرواژه شما پیچیده نباشد اینطور نیست. از الگوریتم های هش استاندارد استفاده می شود (SHA1 ، MD5 ، SHA512 ، و غیره) و آنها همیشه یک چیز را به همان روش هش می کنند. به عنوان مثال ، اگر از SHA1 استفاده می کنید و رمز عبور شما "رمز عبور" بود ، همیشه در پایگاه داده به عنوان "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" ذخیره می شود.

ایجاد هش ها زمان و تلاش کامپیوتر را می طلبد و محاسبه تمام هش های ممکن برای کلمه عبور ممکن عملاً غیرممکن است. کاری که مردم انجام داده اند ایجاد "فرهنگ لغت" از رمزهای عبور رایج است. مواردی مانند "گذرواژه" یا "qwerty" البته در آنجا وجود دارد ، و مواردی که کمتر رایج هستند. میلیون ها رمز عبور در این فرهنگ لغت ها وجود خواهد داشت و تنها چند ثانیه طول می کشد تا از هر ورودی عبور کرده و هش شناخته شده را با هش رمز عبور خود مقایسه کنید. این "حمله دیکشنری" نامیده می شود. اگر رمز شما یکی از مواردی است که قبلاً محاسبه شده است ، غر زدن از رمز عبور شما محافظت نمی کند و می تواند در سایت های دیگر استفاده شود.

همچنین ، تغییر حروف به اعداد پیچیدگی نمی افزاید. ممکن است تغییر E به 3 یا I به 1 پیچیده تر به نظر برسد ، اما این یک شیوه معمول است که امنیت بیشتری به آن نمی افزاید. برنامه های کرک گزینه ای دارند که به طور خودکار آن تغییرات را امتحان می کند.

مرحله 3: آن را منحصر به فرد کنید

به خاطر سپردن گذرواژه ها سخت است. با افزایش روز افزون زندگی ما ، غیر معمول نیست که هر فرد بیش از 50 حساب آنلاین داشته باشد که هرکدام ورود به سیستم خود را دارند. پیگیری این امر می تواند بسیار سخت باشد.

متداول ترین شیوه ای که افراد با آن برخورد می کنند ، انتخاب یک رمز عبور "خوب" و استفاده از آن در دسته ای از وب سایت های مختلف است. این ایده وحشتناکی است. تنها چیزی که لازم است این است که یک نقض امنیتی یا یک وب سایت فیشینگ نام کاربری و گذرواژه شما را برای شروع بازی در اختیار شما قرار دهد. مهاجمان می توانند نام کاربری و رمز عبور خود را در صدها وب سایت در عرض چند ثانیه امتحان کنند. با این کار آنها به طور خودکار وارد هر وب سایتی می شوند که دارای نام کاربری یکسان است.

می دانم که داشتن گذرواژه متفاوت برای هر سایت کار سختی به نظر می رسد ، اما نحوه مدیریت این مورد را بعدا توضیح می دهیم.

مرحله 4: هیچ چیز شخصی نیست

اطلاعات شما آنطور که فکر می کنید خصوصی نیست. یک جستجوی سریع آنلاین می تواند به راحتی تاریخ تولد یا آدرس شما را پیدا کند. اگر حساب دیگری نقض شده باشد ، اطلاعات بیشتری را می توان به راحتی بدست آورد. اگر مهاجمی در حال تلاش برای ورود به حساب های شما باشد ، اینها رمزهای واضح هستند. همچنین ورود را برای اعضای خانواده ، دوستان و یا حتی آشنایان باز می گذارد.

مرحله 5: همه رمزهای عبور را با همان مراقبت رفتار کنید

هنگام برخورد با وب سایت ها ، باید امنیت همه آنها را با همان سطح مراقبت رفتار کنید. به عنوان مثال ، اگر به وب سایت گربه مورد علاقه خود وارد شده اید ، باید همان اقدامات احتیاطی را برای ورود بانک خود انجام دهید. ممکن است از دست دادن دسترسی به همه سبیل های دوست داشتنی زیاد به نظر نرسد ، اما این فقط می تواند یک گام برای مهاجم باشد. نقض آن وب سایت "بی اهمیت" می تواند اطلاعات بیشتری در مورد شما به مهاجم بدهد ، مانند نام کاربری دیگری که استفاده کرده اید ، ایمیل متفاوتی که برای ورود به سیستم استفاده کرده اید یا اطلاعات واقعی که می تواند برای باز کردن قفل وب سایت های دیگر استفاده شود.

همچنین ، اگر یک وب سایت بی اهمیت است ، احتمال بیشتری وجود دارد که آنها از شیوه های امنیتی مناسب پیروی نکنند ، به این معنی که اگر رمز عبور شما طولانی و پیچیده است ، اما منحصر به فرد نیست و هنگام ذخیره رمزهای عبور به درستی هش نشده است ، این رمز عبور می تواند به راحتی در وب سایت های دیگر استفاده شود. باز هم ، فقط به این دلیل که سایت "بی اهمیت" است ، به این معنا نیست که امنیت شما مهم است.

مرحله ششم: مخفی نگه دارید

خوب - ذخیره سازی آفلاین

اگر فردی فراموشکار هستید ، ذخیره سازی آفلاین می تواند گزینه خوبی باشد. داشتن یک یو اس بی که با گذرواژه های خود روی آن قفل می شوید ، به استثنای خانواده و دوستان ، در برابر بیشتر حملات محافظت می کند. در صورت از دست دادن این چوب به نحوی ، مطمئن شوید که فایل رمز عبور یا کل درایو رمزگذاری شده است و این استیک در جایی بسیار امن پشتیبان گیری شده است.

این روش امنیت زیادی دارد ، اما به قیمت راحتی.

دلیل آفلاین بودن آن در زیر با جزئیات بیشتری توضیح داده شده است. به خاطر داشته باشید که بسیاری از دستگاه ها در حال حاضر به طور خودکار در ابر پشتیبان گیری می شوند ، حتی اگر شما قصد آن را نداشتید. همچنین ، اگر تا به حال این چوب را به دستگاهی که دارای ویروس است یا آسیب دیده است متصل کنید ، داده ها به راحتی کپی می شوند.

بهتر - همه چیز را به خاطر بسپارید

همه رمزهای عبور خود را به خاطر بسپارید. اگر استعداد فوق العاده ای دارید ، این ممکن است یک گزینه باشد. هیچ راهی برای پیدا کردن کسی وجود ندارد و شما همیشه او را با خود دارید. برخی از نکات منفی این است که اکثر ما در به خاطر سپردن چیزهای پیچیده شگفت انگیز نیستیم و تمایل داریم کمی بعد از یک یا دو نوشیدنی کمی بیش از حد صحبت کنیم. به خصوص با ده ها رمز عبور برای به خاطر سپردن ، این احتمالاً حتی برای افراد غیرحرفه ای نیز گزینه ای نیست.

بهترین - بدون ذخیره سازی

بهترین حالت این است که آنها را به هیچ عنوان ذخیره نکنید. یا به نوعی همه رمزهای عبور طولانی و پیچیده خود را به خاطر بسپارید یا راهی برای بازآفرینی آنها در حین پرواز داشته باشید. اگر اجزای مورد نیاز برای بازآفرینی آنها را می دانید ، هیچ راهی وجود ندارد که مهاجم بتواند آنها را "پیدا" کند زیرا تا زمان نیاز وجود ندارند. این ممکن است پیچیده به نظر برسد ، اما واقعاً اینطور نیست. بعداً در این باره بیشتر.

اهمیت آفلاین

وب سایت ها توسط افراد مدیریت می شوند. برای اکثر وب سایت ها ، احتمالاً فرض می شود که این افراد عموماً نیت خوبی دارند ، اما حتی بهترین افراد نیز می توانند اشتباه کنند. تنها در سال گذشته ، تعدادی نقض امنیتی بزرگ در وب سایت شرکت های بزرگ و عموماً امن مانند Linked-In ، Yahoo ، Equifax ، Apple و Uber وجود داشت که تنها به تعدادی از آنها اشاره می شود. اینها شرکتهای بزرگی هستند که دارای بخشهای امنیتی هستند و نقض شده اند.

فضای ذخیره سازی ابری بسیار زیبا به نظر می رسد و راحتی را ارائه می دهد ، اما آنچه در واقع "ابر" است ، رایانه شخص دیگری است که از آن برای ذخیره فایل های خود استفاده می کنید. همانطور که در بالا گفتم ، افراد ممکن است اشتباه کنند. اگر این اتفاق بیفتد ، رمزهای عبور شما می تواند در دسترس جهان باشد. سایت های ابری به دلیل حجم داده ای که در اختیار دارند ، هدف غول پیکر مهاجمان هستند. سایت ابری را بشکنید ، به همه اطلاعاتی که میلیون ها نفر به طور بالقوه ذخیره کرده اند دسترسی پیدا کنید.

من مطمئن هستم که برخی از این موارد پارانویا است ، اما با پشت سر گذاشتن بخش بزرگی از زندگی خود در پشت این گذرواژه ها ، از آنها محافظت کنید.

مرحله 7: توصیه من

این یک مقدمه بسیار طولانی برای توضیح ارکان اصلی امنیت رمز عبور بوده است. اگر از این 6 دستورالعمل پیروی کنید ، باید حداقل مشکلات امنیتی آنلاین داشته باشید ، و اگر اتفاقی رخ داد ، باید در منبع متوقف شود ، نه به بقیه زندگی آنلاین شما.

راه های مختلفی برای حل این چالش ها وجود دارد. برخی از آنها بهتر از دیگران هستند و مزایای متفاوتی را ارائه می دهند. راه حل مورد علاقه من SuperGenPass (SGP) است. من به هیچ وجه وابسته نیستم ، فقط یک طرفدار هستم.

ساده برای استفاده

SGP یک برنامه برای تلفن شما دارد و یک دکمه است که می توانید به مرورگر خود اضافه کنید. وقتی به وب سایتی مراجعه می کنید و از شما درخواست ورود می کند ، روی دکمه کلیک کنید. یک پنجره کوچک ظاهر می شود. رمز اصلی خود را وارد کنید SGP یک رمز عبور برای این سایت ایجاد کرده و آن را در کادر رمز عبور برای شما وارد می کند!

طولانی

می توانید طول گذرواژه ایجاد شده را انتخاب کنید. با این کار می توانید تا 24 کاراکتر رمز عبور ایجاد کنید ، که کاملاً امن است ، اما اگر برخی از وب سایت ها طول گذرواژه شما را محدود کنند ، می توانید کوتاهتر انتخاب کنید.

پیچیده

از حروف بزرگ ، کوچک و اعداد استفاده می شود که نسبتاً امن است. آنها از هیچ الگوی قابل تشخیص بدون کلمات یا عبارات پیروی نمی کنند. هیچ نشانی اینترنتی یا رمز اصلی شما در این رشته وجود ندارد.

منحصر بفرد

هر وب سایت دارای یک رمز عبور کاملاً منحصر به فرد خواهد بود. گذرواژه های example1.com و example2.com کاملاً متفاوت هستند ، اگرچه فقط یک نویسه در "ترکیبات" اولیه متفاوت است. همانطور که در مثال زیر مشاهده می کنید ، هیچ ارتباطی بین "مواد تشکیل دهنده" و رمز عبور حاصله وجود ندارد و آنها بسیار متفاوت از یکدیگر هستند.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

ذخیره سازی

هیچ داده ای را ذخیره و منتقل نمی کند. اگر نگران هستید می توانید آن را کاملاً آفلاین اجرا کنید و هیچ راهی برای پیدا کردن یا سرقت آنها وجود ندارد.

مرحله 8: SGP: راه اندازی

راه اندازی SGP بسیار ساده است. ابتدا ، احتمالاً می خواهید آن را به نوار نشانک های خود اضافه کنید. برای انجام این کار ، به آدرس زیر بروید:

chriszarate.github.io/supergenpass/

2 دکمه برای انتخاب وجود خواهد داشت. برای راه اندازی رایانه ای که معمولاً از آن استفاده می کنید ، دکمه سمت چپ را به نوار نشانک های خود بکشید. این یک دکمه جدید برای استفاده به شما می دهد.

اگر در آینده از رایانه شخص دیگری استفاده می کنید ، می توانید دکمه سمت راست را انتخاب کنید. این به شما امکان می دهد از SGP بدون تغییر چیزی در مرورگر آنها استفاده کنید. همچنین یک گزینه برای مرورگر تلفن همراه است.

هنگامی که به نوار نشانک های شما اضافه شد ، روی دکمه کلیک کنید. پنجره کوچکی در گوشه صفحه وب شما باز می شود. با کلیک بر روی چرخ دنده کوچک ، تنظیمات باز می شود.

طول

عدد سمت چپ طول گذرواژه ای است که ایجاد می کند. توصیه می کنم سایتهایی را که بیشتر از آنها استفاده می کنید ، سرچ کنید و آن را در بالاترین عددی که این سایت ها اجازه می دهند تنظیم کنید. بیش از 12 توصیه می شود ، اما هرچه بیشتر بهتر ، به ویژه اینکه نیازی به یادآوری آن ندارید.

نوع هش

برای انتخاب نوع هش دو گزینه وجود دارد ، MD5 و SHA. هر دو رمز عبور با حروف بزرگ ، حروف کوچک و اعداد ایجاد می کنند. تغییر این یک راه ساده برای تغییر همه گذرواژه های شما در عین حفظ همان رمز عبور اصلی است.

رمز عبور مخفی

بخش رمز عبور مخفی یک راه اضافه برای اطمینان از امنیت همه چیز است. وقتی اپلت راه اندازی می شود ، اگر رمز عبور مخفی دارید ، یک تصویر کوچک در کادر رمز عبور نشان می دهد. این رمز عبور باید همیشه در هنگام شروع یکسان باشد. اگر شروع به کار کرد و این تصویر آن چیزی که معمولاً هست ، وجود دارد ، این احتمال وجود دارد که شخصی در حال تلاش برای دریافت رمز عبور اصلی شما باشد.

گذرواژه اصلی

این در حین راه اندازی لازم نیست ، اما بسیار مهم است. اطمینان حاصل کنید که یک رمز عبور قوی انتخاب کنید. این یک رمز عبور واحد است که همیشه در هر سایتی وارد می کنید. مطمئن شوید که چیزی است که می توانید به خاطر بسپارید ، اما پیچیده ، طولانی و غیر شخصی است.

صرفه جویی در

هنگامی که همه تنظیمات خود را انتخاب کردید ، مجدداً روی نماد ذخیره و چرخ دنده کلیک کنید تا تنظیمات نزدیک شوند

مرحله 9: از SGP استفاده کنید

برای استفاده از SGP ، مانند معمول به وب سایتی مراجعه کنید. هنگامی که نیاز به وارد کردن گذرواژه خود دارید ، روی دکمه SGP که به نوار نشانک خود اضافه کرده اید کلیک کنید. اگر هنگام تنظیم SGP از رمز عبور مخفی استفاده کرده اید ، مطمئن شوید تصویری که در کادر رمز عبور نشان داده می شود با آنچه هنگام تنظیم آن مطابقت داشت مطابقت داشته باشد.

رمز عبور اصلی خود را وارد کرده و Enter را بزنید. با این کار رمز منحصر به فرد شما برای این وب سایت محاسبه می شود و برای شما پر می شود! همانطور که در حال تایپ رمز اصلی خود هستید ، نماد به روز می شود. اگر تصویر با نمادی که معمولاً دارید مطابقت ندارد ، یا گذرواژه اصلی خود را اشتباه وارد کرده اید ، یا فردی در تلاش است گذرواژه شما را دریافت کند.

بسته به نحوه نوشتن سایت ، SGP ممکن است نتواند گذرواژه را برای شما وارد کند ، یا ممکن است سایت متوجه نشود که وارد شده است. اگر چنین است ، می توانید روی نماد کپی در کنار جعبه رمز ایجاد شده کلیک کرده و آن را به صورت دستی جایگذاری کنید.

پس از ورود رمز عبور ، روی ورود کلیک کنید و آنجا هستید!

مرحله دهم: اندیشه های نهایی

SGP ممکن است برای همه کار نکند ، و این خوب است. این راه حل کامل نیست زیرا چنین چیزی وجود ندارد. اگر سرویس یا روش دیگری دارید که دوست دارید از آن برای گذرواژه ها استفاده کنید ، 6 مرحله برای رمز عبور ایمن را در نظر داشته باشید. اگر روش فعلی شما در چند مورد از این موارد کوتاه آمد ، شاید زمان آن فرا رسیده باشد که به دنبال راه حل دیگری باشید. بله ، ممکن است نیم روز طول بکشد تا همه حساب های خود را تغییر دهید ، اما این احتمالاً کمتر از یک حساب کاربری شما دچار سردرد می شود.

نکته در مورد ذخیره سازی آنلاین: اگر سرویس رمزهای عبور شما را بصورت آنلاین/در "ابر" ذخیره می کند ، اقدامات امنیتی آنها را بررسی کنید تا از خوب بودن آنها مطمئن شوید. اگر به درستی از پسوردهای شما استفاده کنند ، این سایت به شما می گوید که آنها برای محافظت از رمزهای عبور شما چه می کنند. اگر مطمئن نیستید ، به آنها ایمیل بزنید و بپرسید. اگر نمی توانند به شما پاسخ خوب/مختصر/دقیق بدهند ، هنگام استفاده از آن سرویس محتاط باشید.