از پسورد منیجر استفاده کنید!

توی دنیای امروز که زندگی اکثرمون با اینترنت گره خورده، نگهداری از پسوردها یکی از بزرگترین چالش‌هاست. پسوردهای طولانی‌تر و پیچیده‌تر، امن‌تر هستند امّا حفظ کردنشون سخته. برای همین خیلی از ما از پسوردهای ضعیف و راحت استفاده می‌کنیم. توی یکی از مطالعات امنیت سایبری مشخص شد که خیلی از افراد از اسم حیوان خانگی یا اسم و فامیل خودشون یا کلمه Password یا ۱۲۳۴۵۶ برای دسترسی به سرویس‌های مختلف آنلاین استفاده می‌کنن.

استفاده از اینطور پسوردها، شمارو در معرض خطر حمله‌های سایبری قرار میده. پسوردهای ضعیف، توی چند ثانیه با استفاده از ابزاری که نهایتاً نیاز به فشردن چند کلید روی کیبورد داره، شکسته میشن.

شاید بد نباشه بدونید، شکستن یک پسورد ۱۱ کاراکتری که فقط از اعداد تشکیل شده، حتی یک ثانیه هم طول نمی‌کشه! اگر همون پسورد ۱۱ کاراکتری پیچیده‌تر باشه و شامل اعداد، حروف بزرگ و کوچک و نمادها باشه، شکستن اون حدود ۳۴ سال زمان می‌بره. جدول زیر مدت زمان لازم برای شکستن انواع مختلف پسوردهارو توی سال ۲۰۲۲ نمایش میده.

شکستن یک پسورد ۱۸ کاراکتری پیچیده با کامپیوترهای امروز، ۴۳۸ تریلیون سال زمان می‌بره!

همونطور که توی جدول بالا هم مشخصه، یک پسورد خوب نه تنها باید منحصر به فرد باشه و ترکیبی از حروف، اعداد و نمادها باشه، بلکه طول پسورد نقش اساسی توی مقاومتش ایفا می‌کنه.

یک کاربر معمولی توی اینترنت حدود ۱۰۰ اکانت مختلف داره. به خاطر سپردن این تعداد پسورد، اونم وقتی قراره این پسوردها منحصر به فرد و طولانی باشن، فراتر از قدرت حافظه خیلی از ماهاست.

نرم افزارهای مدیریت کلمه عبور یا Password Manager می‌تونن با ایجاد پسوردهای طولانی و پیچیده برای ما و البته نگهداری این پسوردها، این مشکل رو حل کنن. با این حال، طبق آمار توی سال ۲۰۲۱ فقط یک نفر از ۵ نفر از جمعیت آمریکا از پسورد منیجر استفاده می‌کنن.

خیلی از افراد، حوصله دردسرهای استفاده از اونو ندارن و بعضی از افراد اعتقاد دارن که نگهداری همه پسوردهاشون توی یک نرم افزار یا کمپانی ایده خیلی خوبی نیست. ولی آیا پسورد منیجرها قابل اعتمادن و اگر هک بشن چه اتفاقی می‌افته؟

چرا باید از پسورد منیجر استفاده کنیم؟

وقتی که یک نرم افزار مدیریت کلمه عبور مثل Bitwarden، Dashlane یا LastPass رو دانلود کنید، می‌تونید اطلاعات اکانت‌های خودتون رو از جاهای دیگه مثل مرورگرتون ایمپورت کنید یا اگر بخواید یکم وسواس به خرج بدید، می‌تونید تمام اکانت‌هاتون رو یکی یکی وارد پسورد منیجر کنید و همزمان اکانت‌های سرویس‌ها یا وبسایت‌هایی که بهش نیاز ندارید، حذف کنید.

بعد از انجام این کار، نرم افزار پسورد منیجر می‌تونه برای اکانت‌های جدیدی که ایجاد می‌کنید، پسوردهای پیچیده و طولانی ایجاد کنه؛ و زمانی که اون وبسایت رو باز می‌کنید به طور خودکار نام کاربری و کلمه عبور شما رو توی فیلدهای مربوطه قرار بده. این یکی از سخت‌ترین جنبه‌های امنیت پسوردهامون، یعنی به خاطر سپردن تعداد زیادی از پسوردهای طولانی و پیچیده رو حل می‌کنه. چون پسورد منیجر می‌تونه کار حفظ کردن پسوردهای مارو انجام بده، در نتیجه پسوردهامون می‌تونن طولانی و شامل کاراکترهای کاملاً تصادفی باشند.

علاوه بر این، نرم افزارهای مدیریت کلمه عبور بهمون کمک می‌کنن که برای هر اکانت از پسورد منحصر به فرد استفاده کنیم و پسوردهای تکراری رو توی سرویس‌ها یا وبسایت‌های مختلف استفاده نکنیم. این موضوع برای جلوگیری از حملات Credential Stuffing خیلی مهمه. این حمله زمانی اتفاق می‌افته که یک مهاجم از پسورد شما که ممکنه به هر روشی به دستش آورده باشه، برای دسترسی به اکانت‌های دیگه‌ی شما استفاده می‌کنه. مثلاً اگر پسورد اکانت اینستاگرم شما به نحوی لو بره و کسی بهش دسترسی پیدا بکنه و پسوردهای اکانت‌های دیگه شما مثل ایمیلتون یا حتی اینترنت بانکتون با اون پسورد یکسان باشه، بدون دردسر می‌تونه به اون اکانت‌ها هم دسترسی پیدا کنه.

مزیت دیگه پسورد منیجرها که اغلب نادیده گرفته میشه اینه که می‌تونن به جلوگیری از حملات فیشینگ کمک کنن. حمله فیشینگ نوعی حمله سایبری هست که در اون کلاهبرداران شما رو تشویق می‌کنن که روی یک لینک کلیک کنید و به صفحه‌ای وارد بشید که به نظر میاد خیلی شبیه به صفحه وبسایتیه که توی اون اکانت دارید و در نهایت شما اطلاعات کاربری خودتون رو توی اون وارد می‌کنید و ناخواسته پسوردتون لو میره. از اونجایی که توی پسورد منیجرها می‌تونید اطلاعات هر اکانت رو به یک آدرس وبسایت خاص گره بزنید، بنابراین وقتی وارد یک وبسایت جعلی بشید که آدرس و ظاهر اون شبیه به وبسایتیه که توی اون اکانت دارید، اطلاعات کاربری شما به طور خودکار توی فیلدهای اون صفحه وارد نمیشه و می‌تونید بفهمید که اون صفحه تقلبی هست.

آیا پسورد منیجرها قابل اعتمادند؟

یکی از تصورات غلط در مورد نرم افزارهای مدیریت کلمه عبور اینه که ذخیره همه پسوردهامون توی یک نرم افزار خطرناکه. حقیقت اینجاست که استفاده از یک پسورد منیجر، به مراتب بهتر از استفاده از پسوردهای تکراری توی اکانت‌های مختلف هست.

درسته که قرار دادن اطلاعات کاربری توی یک نرم افزار ریسک نسبتاً کمی داره، امّا احتمال اینکه یک نرم افزار مدیریت کلمه عبور دچار رخنه امنیتی بشه خیلی کمتره.

پسورد منیجرها اطلاعات کاربری رو با یک Master Password که خودتون انتخاب می‌کنید، با پیچیده‌ترین الگوریتم‌ها رمزنگاری می‌کنند و تا زمانی که این پسورد وارد نشه امکان دسترسی به اطلاعات کاربری وجود نداره. بنابراین پسوردها هیچوقت به صورت متن ساده یا به اصطلاح فنی‌تر Plain Text، در دستگاه‌ها یا سرورهای نرم افزار مدیریت کلمه عبور ذخیره نمی‌شن و به صورت رمزنگاری شده ذخیره می‌شن. اکثر پسورد منیجرها از الگوریتم AES برای رمزنگاری اطلاعات استفاده می‌کنند که رمزگشایی اون با روش‌های Brute Force تا به امروز تقریباً غیرممکنه.

امنیت نرم افزار مدیریت کلمه عبور شما، بیشتر به قدرت و ایمنی Master Password که انتخاب می‌کنید بستگی داره. خیلی از نرم افزارهای پسورد منیجر برای افزایش امنیت، Master Password رو در سرورهایی مجزا ذخیره می‌کنند تا حتی اگر یک یا چندتا از سرورها دچار رخنه امنیتی شدن، دسترسی به سایر سرورها سخت‌تر باشه.

از کدوم پسورد منیجر استفاده کنیم؟

بعضی از افراد هزینه مالی استفاده از نرم افزار مدیریت کلمه عبور رو یک مشکل اساسی می‌دونن. امّا حقیقت اینجاست که اگر هزینه هک شدن اکانت‌ها یا حساب‌های بانکی و دردسرهای بعد از اون رو در نظر بگیریم، خریدن اشتراک این نرم افزارها واقعاً ارزش داره. به اضافه اینکه جایگزین‌های خوب، رایگان و متن باز مثل KeePass یا Bitwarden وجود دارن که میشه ازشون بدون دردسر استفاده کرد.

پسورد منیجرهای دیگه‌ای هم مثل Apple Keychain یا Google Chrome Password Manager هستن که میشه ازشون استفاده کرد ولی مشکل اینجاست که استفاده از این نرم افزارها فقط روی دستگاه‌های اپل یا مرورگر گوگل کروم امکان پذیر هست. امّا بازم استفاده از این گزینه‌ها بهتر از استفاده از پسوردهای تکراری در وبسایت‌ها و سرویس‌های مختلف هست.

قدم به قدم تا افزایش امنیت

پسورد منیجر به یک Master Password نیاز داره که باید اونو یادمون بمونه تا بتونیم به بقیه پسوردهامون دسترسی داشته باشیم. این Master Password باید تا حد امکان طولانی و پیچیده باشه، مثلاً یک عبارت یا مجموعه‌ای از کلماتی که راحت یادمون می‌مونه به همراه تعدادی کاراکتر و اعداد تصادفی.

بعضی از نرم افزارهای مدیریت پسورد، رخنه‌های امنیتی توی وبسایت‌هایی که شما توی اون‌ها اکانت دارید رو بهتون اطلاع رسانی می‌کنن. امّا اگر پسورد منیجری که انتخاب کردید این قابلیت رو نداره، نگران نباشید. می‌تونید از وبسایت HaveIBeenPwned برای بررسی اینکه پسوردتون لو رفته یا نه استفاده کنید. اگر پسورد اکانتتون در سرویس یا وبسایت خاصی لو رفته بود، حتماً پسورد اون اکانت و سایر اکانت‌هایی که در اون‌ها از همون پسوردِ لو رفته استفاده می‌کنید، تغییر بدید.

از بین تمام پسوردها، پسورد ایمیل‌هاتون از همه مهمتره. اگر کسی بتونه به ایمیل شما دسترسی پیدا کنه، تقریباً به تمام اکانت‌هایی که با اون ایمیل ایجاد کردید دسترسی داره چون می‌تونه از ایمیل شما برای تغییر پسورد سایر اکانت‌هاتون استفاده کنه؛ به علاوه اینکه می‌تونه با جعل هویت شما، کلاهبرداری و سوء استفاده انجام بده.

برای همین پیشنهاد میشه که اکانت‌هاتون و پسورد منیجرتون رو به احراز هویت دو مرحله‌ای مجهز کنید. با احراز هویت دو مرحله‌ای، موقع ورود به اکانت‌هاتون علاوه بر پسورد، باید یک کد یکبار مصرف وارد کنید. این کد یکبار مصرف می‌تونه به صورت SMS به شماره تلفن خودتون ارسال بشه یا به یک اپلیکیشن که روی موبایلتون نصب و تنظیم شده. اپلیکیشن‌های Google Authenticator و Authy گزینه‌های خوب و راحتی هستن و با اکثر سرویس‌ها سازگاری دارن. اگر بازم امنیت بیشتری نیاز داشته باشید می‌تونید از کلیدهای امنیتی فیزیکی مثل YubiKey استفاده کنید.

حرف آخر

اضافه کردن یک به یک اکانت‌ها توی نرم افزار مدیریت کلمه عبور احتمالاً سخت‌ترین مرحله برای هرکسی باشه، امّا میشه به تدریج این کارو انجام داد و بعد از اینکه تمام اکانت‌هاتون به نرم افزار اضافه شد، از سادگی کار با پسورد منیجر لذت ببرید.

نرم افزارهای مدیریت کلمه عبور ابزارهای مؤثری هستن که علاوه بر امنیت، راحتی رو فراهم می‌کنن ولی درمان همه‌ی هک‌ها یا رخنه‌ها نیستن. حتی با پیچیده‌ترین، طولانی‌ترین و بی نقص‌ترین پسوردها بازم ممکنه قربانی هک یا رخنه‌های امنیتی بشیم. اتفاقاً یکی از دلایل استفاده از پسورد منیجر همینه که تنها یک رخنه امنیتی، موجب لو رفتن پسورد تمام اکانت‌های ما نشه.

یادمون نره که امنیت یک موضوع نسبیه که ما فقط می‌تونیم بهبودش بدیم و هیچوقت نقطه‌ای وجود نخواهد داشت که در اون امنیت صد درصدی داشته باشیم و هرکسی که بهتون چنین وعده‌ای میده بدون شک داره دروغ می‌گه.