1. خانه
  2. »
  3. طراحی سایت
  4. »
  5. هک و امنیت
  6. »
  7. اهمیت انتخاب رمزعبور و پسوردهای مطمئن و قوی

اهمیت انتخاب رمزعبور و پسوردهای مطمئن و قوی

اهمیت انتخاب رمز عبور مطمئن و مناسب

این روزها که همه به صورت گسترده از اینترنت استفاده می‌کنیم، تعداد اکانت‌ها و نام‌های کاربری و رمزهای عبورمان هم بیشتر شده و به نظر نمی‌رسد این روند در کوتاه‌مدت تغییر کند. روزی یکی از دوستانم به شوخی گفت: میترسم چند وقت دیگه برای ورود به توالت هم مجبور به استفاده از رمزعبور باشیم و تا پسورد صحیح را وارد نکنیم در دستشویی باز نشود!

اما از شوخی دوستم هم که بگذریم نظر به اهمیت این موضوع هر سال در دنیا، هفتم ماه می را روز پسورد نامگذاری کرده‌اند. در واقع ما توسط پسوردها محاصره شدیم و هیچ راه گریزی هم از آن نداریم زیرا با وجود مطرح شدن روش‌های جایگزین (مثلاً شاخص‌های بیومتریک مانند اثر انگشت و تشخیص عنبیه چشم)، به نظر بعید می‌آید که رمز عبور، حتی در آینده هم به صورت کامل حذف شود.

اهمیت رمز عبور قوی و مناسب

محاصره در میان پسورد

ساخت پست الکترونیک (ایمیل)، خرید‌های اینترنتی، حساب‌های کاربری مختلف مانند حساب کاربری درسایت‌های فروشگاه اینترنتی، سایت‌های سرمایه‌گذاری بورس، شبکه‌های اجتماعی، کارت‌ها و حساب‌های بانکی مختلف، کیف پول‌های مختلف مالی و بین‌المللی، رمز عبور انواع اپلیکیشن‌های نصب شده روی گوشی و تبلت، همچنین رمز عبور اینترنت خانگی و وای‌فای، استفاده از امکانات رایانه شخصی و یا اشتراکی و حتی برای ورود به تلفن همراه هم به رمزعبور نیاز داریم.

حقیقت این است که هیچکس دوست ندارد رمز عبورش در دسترس دیگران قرار بگیرد. اما اگر این اتفاق بیفتد حوادث مختلفی را به همراه خواهد داشت. انتخاب صحیح رمز عبور یا “password” آنچنان مهم است که گاهی با هک شدن فقط یکی از آنها ممکن است فرد با مسائل و مشکلات بسیار بزرگ مالی، تجاری، اعتباری و یا حتی مسائل حیثیتی مواجه شود.

اگرچه امروز اکثر سرویس‌های حرفه‌ای پسوردها را به شکل رمزنگاری شده (Encrypted و یا Hashed) ذخیره می‌کنند. اما نباید زیادی به این مکانیزم‌ها دل خوش کرد. هکرهای حرفه‌ای اگر به اطلاعات رمزنگاری شده دسترسی پیدا کنند، می‌توانند دیکشنری‌های مختلف را به شکل آفلاین روی دیتابیس تست و تعدادی از پسوردها را کشف کنند.

با توجه به اهمیت انتخاب یک رمز عبور قوی، بر آن شدیم تا این مقاله از وبیاری را به روش‌های انتخاب یک رمز عبور خوب اختصاص دهیم تا از این پس با امنیت بیشتری در دنیای دیجیتال به گشت و گذار بپردازید.

اصلا رمزعبور (Password) چیست؟

بیایید خیلی کوتاه آن را تعریف کنیم: رمز عبور یا همان پسورد، رشته‌‌ای از کاراکتر‌ها است که در هنگام ورود به حساب کاربری و برای تأیید هویت شخصی شما، از آن استفاده می‌شود. این رشته از کاراکتر‌ها توسط خود شما یا به کمک نرم‌افزارها ایجاد می‌شود.

یعنی در هنگام ثبت نام در سایت‌های مختلف، شبکه‌های اجتماعی و … سایت یا پلت‌فرم مربوطه، از شما می‌خواهد تا یک پسورد قوی برای حساب کاربری خود تعیین کنید. بعضی سایت‌ها کمی سخت‌گیر هستند و هر رشته‌ای از کاراکتر‌ها را به عنوان رمز عبور قبول ندارند. البته نباید فراموش کرد که تمام این سختگیری‌‌ها، در راستای حفظ اطلاعات شخصی شما انجام می‌گیرد. در مقابل بعضی سایت‌ها و پلت‌فرم‌ها سهل‌گیرتراند.

رمز عبور و پسورد و هک کردن آن
پسورد ضعیف چیست؟

یک پسورد ضعیف پسوردی است که توسط دیگران، چه یک فرد باشد، چه یک کامپیوتر، چه یک شبکه از کامپیوترها، به راحتی قابل حدس‌زدن باشد.

مسیرهای حمله مشترکی از حدس‌زدن brute-force تا مهندسی اجتماعی وجود دارد. هکر یکی از دو اطلاعات کاربر برای ورود به حساب کاربری را دارد(رمز عبور یا نام کاربری). پس با تکیه بر این اطلاعات، به آن اکانت حمله می‌کند و میلیون‌ ها ترکیب مختلف را برای حدس زدن دومی به کار می‌گیرد.

البته خود هکر یک انسان است و توانایی انجام این کار را ندارد. اما او برای دستیابی به هدفش، از کمک‌ افزار‌ها استفاده می‌کند. یک کامپیوتر را برنامه‌ریزی می‌کند تا میلیون‌‌ها ترکیب مختلف را برای حدس زدن رمز عبور حساب کاربری، امتحان کند. فراموش نکنید که اگر هکر بتواند به پنل مدیریت سایت نفوذ کند، محیط سایت را از بدافزار‌ها پر می‌کند.

تعدادی از روش‌های هک رمز عبور
  1. حمله Brute-force: امتحان‌کردن تمام ترکیب‌های ممکن، مرکب از حروف و اعداد مختلف به کمک نرم افزار.
  2. حمله فیشینگ: فیشینگ یعنی فریب کاربر برای فاش‌کردن اطلاعات مهم خود. این فریب‌ها اغلب در صفحات ایمیل یا صفحات سرویس‌های مشهور انجام می‌شود. در این صفحات، کاربر نداسته پسورد خود را به شخص هکر می‌سپرد.
    برای اجتناب از این نوع فریب، برروی لینک‌های مشکوکی که از شما اطلاعات حسابتان را می‌خواهند کلیک نکنید. جهت لاگین‌کردن ایمیل خود به سایت اصلی یا با گوگل‌کردن آن، به لینک گوگل بروید.
  3. حمله Dictionary-based: استفاده از پسوردهای رایج مانند admin ،123 یا 123456. اگرچه هرساله لیستی از بدترین پسوردهای دنیا منتشر می‌شود اما متاسفانه مردم همچنان از این پسوردهای رایج و ضعیف کمک می‌گیرند.
  4. مهندسی اجتماعی: این یک مورد با دوستی‌کردن و ایجاد رابطه نزدیک، جهت نشان‌دادن چیزی یا دسترسی به کامپیوتر یا شبکه‌ است. البته این بیشتر در جاسوسی صنعتی بکار می‌رود.
هک کردن رمز عبور
یک پسورد قوی(Strong) و یک پسورد سخت (Hard) چه ویژگی هایی دارد؟

سخت بودن با قوی بودن تفاوت دارد و شرح آن از حوصله مقاله خارج است اما با رعایت شروطی که در ادامه می‌آیند، به هر دو مورد نائل می‌آیید. در حال حاظر رمز عبور سخت و قوی رمزهایی هستند که ویژگی‌های زیر را داشته باشند:

1- طولانی بودن پسورد:

هر اندازه تعداد کاراکتر‌های یک پسورد بیشتر باشد، هکر به زمان بیشتری برای هک کردن آن نیاز دارد. یک پسورد قوی باید تعداد کاراکترهای آن زیاد باشد. حداقل تعداد کارکتر باید ۸ تا باشد. معمولاً پسورد‌های که بیشتر از ۱۲ کاراکتر دارند، رمزعبورهای خوب محسوب می‌شوند(از نظر تعداد کاراکتر). هرچه پسورد طولانی‌تری داشته‌باشید، وقت بیشتری برای کرک‌شدن نیاز دارد.

2- پیچیده بودن (مهمترین ویژگی رمزعبور قوی)

پسورد‌‌های قوی، ترکیبی از اعداد، علائم و حروف بزرگ و کوچک انگلیسی هستند. بنابراین بسیار مهم است که در رمز عبور از کارکتر یا حروف بزرگ و کوچک استفاده شود. همچنین رمز عبور باید دارای اعداد و نماد (Symbol) باشد. منظور از نماد، این علائم است: ` ! ” ? $ ? % ^ & * ( ) _ – + = { [ } ] : ; @ ‘ ~ # | < , > . ? /

برای وسواس و احتیاط بیشتر: بهتر است که اعداد و کاراکترهای خاص را صرفاً در ابتدا یا انتهای پسورد قرار ندهید. بلکه جایی در میانه پسورد از آن‌ها استفاده کنید. یعنی پسورد خود را با حروف شروع و با حروف پایان دهید.

3-  تنوع در انتخاب رمز عبور و یکتا بودن:

در صورت امکان در هر جایی از پسورد مخصوص آنجا استفاده شود. اینکه یک رمز قوی داشته باشید و آن را برای تمامی حساب‌ها استفاده کنید، کار درستی به نظر نمی‌رسد. چون با هک شدن یکی از این حساب‌ها، هکر می‌تواند به اطلاعات شما در دیگر سایت‌ ها نیز، دسترسی داشته باشد. کاری کنید که اگر پسوردها سرویسی نشت کرد، سرویس‌ها و سایت‌ها و اپلیکیشن‌های دیگرتان در امان باشند. پس چند پسورد قوی ایجاد کنید و هر کدام را به یکی از حساب‌‌های کاربری خود اختصاص دهید.

تصور کنید که شخصی برای ده‌ها اکانت اینترنتی خود یک رمز عبور ساده مثل 123456 انتخاب کرده. حال چه مصیبتی شود اگر شخصی به پسورد ایشان دسترسی پیدا کند. در تعجبم از بعضی عزیزان که رمز کارت بانکی خود را 1111 انتخاب می‌کنند، باور کنید بنده این اشخاص را به چشم خود دیده‌ام. درست است که سیستم بانکی امنیت دارد (البته فقط تا حدودی) اما اگر این فرد کارت خود را گم کند و شخصی تصادفا این کارت را بیابد و بخواهد به جای تحویل آن به بانک، از آن پول بردارد! این فرد اولین رمزی را که بخواهد امتحان کند چیست؟ شاید همان 1111

پسورد سخت

4- غریب و ناآشنا بودن:

ترجیحاً در ساخت رمز عبور از واژه‌های موجود در دیکشنری‌ها استفاده نشود، بهتر است کلمات کاملا تصادفی یا بی‌معنی باشد. بهتر است در رمزهای عبور خود اثری از نام، نام خانوادگی، نام فرزندان و نزدیکان خود نباشد. اگر همچنان دوست دارید با واژهای معنی‌دار پسورد بسازید باید خیلی هوشمندانه و ترکیبی عمل کنید.

بالاتر گفتیم که یکی از مشهورترین حمله‌هایی که به کاربران می‌شود، brute force attacks نام دارد؛ در این نوع حمله، مهاجمان لیستی از پراستفاده‌ترین پسوردها و شناخته‌شده‌ترین آن‌ها را جمع‌آوری و امتحان می‌کنند.

برای وسواس و احتیاط بیشتر: اگر دوست دارید از کلمات معنادار استفاده کنید، یک یا دو حرف آن‌ها را با حروف دیگر جایگزین کنید. برای جایگزینی هم از روش‌های رایج (مثلاً حرف O به جای عدد صفر یا بالعکس) استفاده نکنید.

5- غیر قابل حدس بودن:

در موارد قبل توضیح دادیم که در پسورد نباید از اطلاعات شخصی مانند نام و شماره شناسنامه و تاریخ تولد و … استفاده شود. همچنین از ترکیب‌‌های روان و رندی مانند ۱۲۳۴۵۶۷۸۹ و یا abcd هرگز استفاده نکنید. حدس زدن چنین پسورد‌هایی برای هکر، مثل آب خوردن است! هکرها در اولین مرحله‌ به سراغ اطلاعات شخصی می‌روند؛ پسوردی را استفاده کنید که کسی نتواند آن را حدس بزند. فراموش نکنید که در هک کردن رمز عبور، هکر از نرم افزارها کمک می‌گیرد. افراد و برنامه‌های قفل شکن می‌توانند به راحتی رمزهای قابل حدس زدن را تشخیص دهند.

6- تغییر پسورد با فاصله زمانی منظم :

پسوردها را باید بعد از مدت زمانی معین تغییر دهید و از رمز عبور قدیمی استفاده نکنید. حداقل هر سه ماه یکبار رمز‌ها را تغییر دهید. برای رمزها و پسوردهای مالی حساسیت بیشتری باید داشت.

7- خصوصی بودن:

اگر تمام موارد بالا را در رمزعبور خود رعایت کنید، تا زمانی قوی و ایمن است که صرفاً خودتان آن را بدانید. چون وقتی پسورد قوی خود را در اختیار دوست یا آشنایان خود قرار می‌دهید، امکان لو رفتن آن در اثر سهل انگاری وجود دارد. پس به هیچ عنوان رمز عبور خود را با دیگران به اشتراک نگذارید.

8- امنیت در حفظ و نگهداری پسورد: 

این ویژگی یه جورایی با ویژگی شماره 7 ارتباط دارد. همچنین فراتر از ویژگی بودن، می‌تواند یک توصیه جدی و مهم برای از بین نرفتن، فراموشی و یا جلوگیری از فاش شدن پسوردها باشد. منظور از امنیت یا Secure بودن رمز عبور این است که مراقب باشید کسی به آن‌ پسورد دسترسی نداشته باشد. همچنین مراقب باشید که فراموش یا گم نشوند و یا پاک نشوند. مورد شماره 7 بیشتر برای جلوگیری از اشتراک با افراد معتمد است. اما اینجا بحث امنیت در حفظ و نگهداری به منظور جلوگیری از سرقت و یا از بین رفتن رمزعبورها است. برای این منظور توصیه‌های زیر را جدی بگیرید:

الف – استفاده از نرم افزار:

از آنجا که حافظه انسان ضعف دارد و فراموش‌کار است، از پس این همه رمز حداقل 8 کاراکتری به صورت ترکیبی با تنوع و غیره و غیره برنمی‌آید. اگر روی کاغذ هم بنویسیم، باز ممکن است گم شود یا از بین برود. اگر به صورت فایل در رایانه و یا گوشی ذخیره کنیم باز هم ممکن است پاک شود. پس باید از نرم افزار در حفظ و نگهداری از رمز عبورها کمک بگیریم.

نرم افزار KeePass هم این پسوردها را تولید می‌کند و هم نگهداری و مدیریت می‌کند. با تهیه بک‌آپ‌های منظم از این نرم‌افزار (دارای نسخه مناسب در رایانه و گوشی) هرگز در حفظ و نگه‌داری از رمزعبورها مشکلی نخواهید داشت. با نصب نرم افزار شما فقط یک رمزعبور (رمز عبور ورود به نرم‌افزار) را حفظ می‌کنید، نه ده‌ها و صدها رمز عبور.

علاوه بر KeePass می‌توان جهت مدیریت پسورد‌های خود از سایر نرم‌افزارها مثل Dashlane ، LastPass  استفاده کنید.

ب- استفاده از تأیید دومرحله‌ای:

به صورت خیلی خلاصه، اعتبارسنجی دومرحله‌ای یا Two-factor Authentication علاوه بر پسورد از یک ابزار مکمل و کمکی برای اطمینان از هویت شما استفاده می‌کند. مثلاً ممکن است ایمیلی به اکانت‌تان یا پیامکی به موبایل‌تان ارسال شود. روش‌های تأیید دومرحله‌ای از یک سرویس به سرویس دیگر فرق می‌کنند. در بانک‌ها و شبکه‌های اجتماعی و سایت شخصی که مدیر آن هستید تا حد امکان از تأیید دومرحله‌ای استفاده کنید.

سرویس‌های معتبر مثل گوگل و اینستاگرام، امکان استفاده از کدهای آفلاین را در موقعیت‌های خاص هم فراهم کرده‌اند ( مثلا به دلایل تحریم ممکن است سرویس‌های بین‌المللی پیامک را برای خطوط تلفن ایرانی ارسال نکنند. یا برعکس آن‌ها پیامک را ارسال کنند و بستر داخلی تصمیم بگیرد پیامک را تحویل ندهد). در اعتبارسنجی دومرحله‌ای، اگر در انتخاب نوع سرویس اختیار دارید بهتر است به جای شماره موبایل از ایمیل استفاده کنید.

ج- احتیاط‌های آگاهانه: 
  • درصورت استفاده از دستگاه‌هایی که کاربر مشترک دارند، پس از تمام شدن کار خود Log-out یا Sign-out کنید و حتماً از برنامه خارج شوید.
  • در ارسال پسورد و یوزر به دیگران بیشتر احتیاط کنید. اگر پسورد را در پیام‌رسان‌ها برای دوست مطمئن یا اعضای خانواده‌تان می‌فرستید، نام کاربری و سایت را همزمان نفرستید. چون ممکن است شخص سومی آن را ببیند و یا اکانت شما هک شود. مثلاً بهتر است به دوست خود زنگ بزنید و بگویید نام کاربری‌ فلان را برای استفاده از سایت فلان انتخاب کرده‌ام و پسورد را با واتس‌آپ یا هر نوع شبکه اجتماعی یا اپلیکیشن مطمئن برایش جداگانه بفرستید.
اهمیت پسورد قوی و مناسب

اکنون با توجه به اهمیت موضوع پیشنهاد می‌کنم رمز عبورهای متفاوت را برای سایت‌ها و سرویس‌های مختلف در نظر بگیرید. نگران این نباشید که این همه رمز عبور را چگونه حفظ کنم! با استفاده از سرویس هایی برای ذخیره رمزهای عبور میتوانید همه رمزها را ذخیره و هر موقع که به آنها نیاز داشتید از آن ها استفاده نمایید.

چگونه رمز عبور قوی بسازیم؟

اگر به اهمیت رمز عبور قوی و مناسب پی‌برده‌اید اما هنوز نمی‌توانید رمز عبور بسازید از روش‌های زیر کمک بگیرید:

  1. سایت‌های پسوردساز آنلاین: به کمک یکی از سرویس‌های آنلاین که در ادامه می‌آید می‌توان رمز عبور بسیار قوی ساخت (ما این روش را بیشتر توصیه می‌کنیم)
  2. نرم افزارهای ساخت پسورد: نرم افزارهای زیادی در این زمینه می‌توانند به شما کمک کنند. مثلا نرم افزار Password Generator Professional که می‌توانید پسورد‌های قوی از درجه 1 تا 100 را برای خود تولید کنید. همچنین نرم افزار KeePass برای تولید و مدیریت پسوردها می‌تواند فوق العاده باشد. ابتدا متناسب با سیستم عامل کامپیوتر و یا مدل گوشی خود، نرم‌افزار KeePass را از سایت اصلی دانلود کنید. پس از دانلود، نرم‌افزار را نصب کنید.  KeePass هم رمز را تولید و هم مدیریت می‌کند. سعی می‌کنیم در آینده این نرم‌افزار مفید را کامل توضیح دهیم.
  3. خودتان بسازید: خودتان به صورت خلاقانه و با رعایت تمام نکات ایمنی مطرح شده در مقاله رمزی قوی بسازیم، هم طولانی و هم غیرقابل حدس زدن و کمی پیچیده باشد. مثلا رمز ترکیبی و 16 کاراکتری  [!H0Se(in)[Tu*30  را برای شخصی فرضی به اسم حسین طوسی ساختیم، البته با قدری تغییرات در نحوه نگارش و املای اصلی کلمه و ترکیب حروف بزرگ و کوچک و اعداد و سمبل. شما هم می‌توانید با کمک این الگو یک رمز پیچیده برای خود بسازید. اما حسابی باید آن را ترکیب کنید و به قول معروف تابلو نشود. ما روش اول و دوم را بیشتر توصیه می‌کنیم.

برای خواندن مقالات بیشتر در این زمینه به دسته‌بندی امنیت و هک  مراجعه کنید

آموزش ثبت نام و ساخت شناسه ایرنیک
راهنمای انتخاب نام مناسب دامنه برای وب سایت
برای نوشتن دیدگاه باید وارد بشوید.
طراحی سایت فروشگاهی
طراحی سایت شرکتی
فهرست