ايتنا - پسوردهای پیچیده همیشه بهتر نیستند

محمدرضا اسکندری
صادقانه بگویم من از پسوردها و PINها متنفرم. آنهایی که بیش از یک آدرس ایمیل، حساب یا کارت بانکی دارند دقیقاً می‌دانند که منظور من چیست.
بدتر اینکه این روزها به نظر می‌رسد که همه جا به پسورد نیاز داریم، در کارت‌های اعتباری هم برای امن‌تر شدن پرداخت آنلاین به پسوردهای طولانی‌تر احتیاج داریم. این پسوردها به حدی پیچیده هستند که به خاطر سپردن آنها خیلی سخت است.

البته شما به احتمال زیاد جزو کسانی نیستید که برای همه حساب‌ها از یک پسورد استفاده می‌کنند، چرا که این یک روش بسیار خطرآفرین است و اگر کسی پسورد شما را به دست بیاورد، می‌تواند نام کاربری‌تان را در خیلی از وبسایت‌ها دنبال کند و هویت شما را بدزدد.

اما بیائید واقع‌گرا باشیم و احساساتمان را کنار بگذاریم. پسوردها معمولاً اولین خط دفاعی بر علیه دسترسی غیرمجاز هستند (وقتی که رمزنگاری با کلیدها استفاده نمی‌شود آنها تنها راه‌حل هستند.) آنها از اطلاعات شخصی شما حفاظت می‌کنند.
اگر پسوردها دسترسی به اینترانت شرکت شما را هم کنترل کنند آنگاه این کلیدی برای کل شبکه شرکت خواهد بود.

این مقاله قصد ندارد که یک راهنما برای ساخت پسوردهای بهتر توسط شما باشد. منابع زیادی در اینترنت در این مورد وجود دارد. (فقط کافیست «راهنمای ساخت پسوردها» را جست‌وجو کنید) چشم‌انداز این مقاله افزایش آگاهی جمعی در مورد برخی روش‌هایی است که خیلی از مدیران شبکه برای ایجاد پسوردهای امن استفاده می‌کنند که گاهی اوقات حتی کاربران نمی‌توانند آن را تغییر دهند. من راجع به چیزی مثل این صحبت می‌کنم.

Cz~>Iah]-_zH۷s>Spha)
این پسورد به شدت ایمن! ۲۰ کارکتر دارد با حروف کوچک و بزرگ و نشانه‌های خاص را در خود دارد. این از نقطه نظر امنیتی یک پسورد کامل است. اما می‌توان آن را به خاطر سپرد؟ آیا کسی می‌تواند آن را به خاطر سپارد؟ من در این مورد شک دارم.

بنابرین راه‌حل اینکه بتوانیم از این پسورد استفاده کنیم چیست. بستگی به این دارد که پسورد باید در کجا استفاده شود.

برای وارد شدن به یک کامپیوتر مهم نیست که داشتن این پسورد پیچیده چقدر پوچ به نظر می‌رسد، من مطمئنم که پسوردهای مشابهی در جهان استفاده می‌شوند.
ممکن است ۲۰ کاراکتر نباشند اما حافظه شخص واقعاً نمی‌تواند پسوردهای تصادفی تا این حد پیچیده بزرگ‌تر از ۸-۶ کاراکتر را به خاطر بسپارد. حتی تنها با تکرار فراوان پسوردهای در حد ۸ کاراکتر به خاطر سپرده می‌شوند. بنابرین افراد برای استفاده از این پسورد پیچیده چه کار باید بکنند؟

آنها این پسورد را می‌نویسند و در دسترس نگه می‌دارند. در واقع تا جایی که من می‌توانستم تحقیق کنم در برخی از شرکت‌ها مدیران پسوردهای مکتوب را روی یک کاغذ به کاربر می‌دهند تا همیشه آن را در دسترس داشته باشد. اما این روش چه میزان ریسک دارد؟

روشن است که هر کسی می‌تواند پسورد را بخواند و یک کپی را از آن بگیرد و بدون اینکه شما بدانید چه کسی از آن استفاده می‌کند.
این منجر به نشت داده و از بین رفتن امنیت شبکه و اتفاقات بد دیگر برای یک مدیر شبکه می‌شود.

برای وارد شدن به یک خدمت (مثل ایمیل، وب سایت و غیره) در این مورد، موقعیت به اندازه مورد اول بد نیست، اما با این وجود، پسورد باید در جایی در کامپیوتر به شکل مکتوب نگهداری شود.
اگر وب‌سایت امن نباشد، آنگاه مرورگر معمولاً آن را به خاطر می‌سپارد و اگر امن باشد، باید هر بار در هنگام وارد شدن آن را وارد کنید.

اگر بخواهید که از یک کامپیوتر دیگر به سرویس وارد شوید یا اینکه از مکانی که باید پسورد را به شکل فیزیکی با خود حمل کنید به کامپیوتر وارد شوید. خواه آنرا روی یک تکه کاغذ نوشته باشید یا اینکه روی رسانه قابل حمل مثل فلش USB یا تلفن هوشمند ذخیره کرده باشید.

ریسک این روش در چیست؟ رسانه قابل حمل می‌تواند مثل تکه کاغذ گم شود یا دزدیده شود. چون معمولاً پسوردهای زیادی مورد نیاز است، آنها همراه با آدرس سرویس نوشته می‌شوند. بنابرین شما در را نشان داده‌اید و کلید را به یک فرد کاملاً بیگانه سپرده‌اید.

راه‌‌حل
تنها یک راه‌حل برای این نوع مشکلات وجود دارد. این پسوردهای پیچیده را به پسوردهای Onetime تبدیل کنید و کاربر را مجبور کنید که آن را در اولین بار ورود تغییر دهد. همچنین مطمئن شوید که استفاده از پسوردهای قوی را در سمت سرور اجباری کرده‌اید.

در حالت ایده‌آل، وقتی که کارمند شرکت را ترک می‌کند یا اینکه اکانتش منقضی می‌شود، اعتبار همه پسوردها منقضی می‌شود. این به کم کردن خطر اجبار کاربران به نوشتن پسوردهایشان کمک می‌کند چون آنها می‌توانند آن را به روشی که می‌خواهند تنظیم کنند.

اما شما به عنوان یک کاربر اگر امکان استفاده از سیستم Onetime را نداشته باشید باید با مدیریت پسوردهایتان از حساب‌های کاربری و حساب‌های شخصیتان و .... مراقبت کنید. شما چگونه پسوردهایی دارید؟

آیا از پسوردهای ساده استفاده می‌کنید یا سعی می‌کنید پسوردهای پیچیده‌تر استفاده کنید. شما می‌توانید پسوردهای پیچیده‌تری بسازید که هنوز می‌توانید آن را به خاطر بسپارید من قبلاً گفتم که از نوشتن پسورد یا چسباندن آن به مانیتور یا کیبورد خودداری کنید.

در ادامه نکاتی برای استفاده از پسوردهای خوبی که می‌توانید به خاطر داشته باشید مطرح می‌کنم.
از پسوردهای طولانی استفاده کنید: برخی وب‌سایت‌ها حتی حداقل پسورد ۶ ،۸ یا ۱۰ حرفی را اجباری می‌کنند. من قویاً توصیه می‌کنم که از حداقل ۸ کاراکتر استفاده کنید.
رمز عبور قوی معمولاً ترکیبی از حروف، اعداد و علائم است. اما نباید از یک‌سری کاراکتر‌های تصادفی استفاده شود که نتوان آن را به خاطر سپرد.
یک روش ساده برای به خاطر سپردن پسوردهای طولانی مرتبط کردن آنها با چیز دیگری است.
برای پسوردهای ایمیل می‌توان از حروف اول یک جمله برای پسورد استفاده کرد. برای مثال نام وب‌سایت را در پسورد بنویسید. دو مثال پایین را نگاه کنید:
برای جی‌میل: My.G-Mail.Pa$$-Word۱ برای Linkedin: My-Linked.In-Pa$$

حروف (کوچک و بزرگ) را با اعداد، نمادها ترکیب کنید. یک روش ساده برای بخاطر سپردن این ترکیب‌ها مرتبط کردن آنها با هم است. مثلا s را با $ جایگزین کنید. کلمه‌های طولانی را به دو یا چند بخش تقسیم کنید و به عنوان یک جداکننده از نمادهایی مثل - ، . و # استفاده کنید.

حتی می‌توانید از اعداد تصاعدی برای جداکننده‌ها استفاده کنید. دو مثال زیر را برای این روش‌ها ذکر کرده‌ایم.
Pa$$-W۰rD به جای password
Com۱pu۳ter۵ به جای computer
در صورتی که پسورد را فراموش می‌کنید، مطمئن شوید که اطلاعات بازیابی را بروزرسانی می‌کنند. معمولاً این به معنای یک آدرس ایمیل جایگزین یا سوالی که تنها شما می‌توانید به آن پاسخ دهید و جوابش راحت پیدا می‌شود: مثلاً نام حیوان خانگی‌تان چیست؟ یا شماره تلفن موبایل برای احراز هویت دو عامله می‌شود. همچنین پسورد را به صورت منظم تغییر دهید.

اما برای انتخاب پسوردهایتان چه کارهایی نباید بکنید:
از کلمه‌هایی مثل Microsoft، نام شخصی، نام حیوانات، نام ماه‌ها یا فصل‌ها، برندهای ماشین و غیره استفاده نکنید.
ترجیحاً از تاریخ در پسوردتان استفاده نکنید. اگر هم مجبور به استفاده شدید، به هیچ وجه نام و تولدتان با هم استفاده نکنید: مثلاً Amir۱۳۵۹۰۹۱۳ یا jack۲۱۰۲۱۹۷۸
از پسوردهای پیش‌فرض مثل ۱۲۳۴۵ ، root ، qwe۱۲۳ یا abcd اصلاً استفاده نکنید.

از یک پسورد مشابه در وب‌سایت‌های مهم استفاده نکنید.
در انتها باید گفت پسورد قوی الزاماً نباید پیچیده باشد، بلکه اغلب یک پسورد طولانی که براحتی به خاطر سپرده شود، ایمن‌تر است.

بیاد داشته باشید که تمام پسوردها قابل هک هستند، پس هراز چند گاهی پسوردهای خود را تغییر دهید. اگر از راهکارهایی که در بالا گفته شد بهره ببرید، پسوردهای شما در برابر نفوذ هکرها بیشتر مقاومت می‌کنند.

برای مثال طبق گفته اینتل هک شدن پسورد «XF۱&tmb» شش دقیقه طول می‌کشد، در صورتی که پسوردی همانند «The-shining-sea» یک هکر را ۴۸ سال مشغول نگه می‌دارد.