از پسورد منیجر استفاده کنید!
توی دنیای امروز که زندگی اکثرمون با اینترنت گره خورده، نگهداری از پسوردها یکی از بزرگترین چالشهاست. پسوردهای طولانیتر و پیچیدهتر، امنتر هستند امّا حفظ کردنشون سخته. برای همین خیلی از ما از پسوردهای ضعیف و راحت استفاده میکنیم. توی یکی از مطالعات امنیت سایبری مشخص شد که خیلی از افراد از اسم حیوان خانگی یا اسم و فامیل خودشون یا کلمه Password یا ۱۲۳۴۵۶ برای دسترسی به سرویسهای مختلف آنلاین استفاده میکنن.
استفاده از اینطور پسوردها، شمارو در معرض خطر حملههای سایبری قرار میده. پسوردهای ضعیف، توی چند ثانیه با استفاده از ابزاری که نهایتاً نیاز به فشردن چند کلید روی کیبورد داره، شکسته میشن.
شاید بد نباشه بدونید، شکستن یک پسورد ۱۱ کاراکتری که فقط از اعداد تشکیل شده، حتی یک ثانیه هم طول نمیکشه! اگر همون پسورد ۱۱ کاراکتری پیچیدهتر باشه و شامل اعداد، حروف بزرگ و کوچک و نمادها باشه، شکستن اون حدود ۳۴ سال زمان میبره. جدول زیر مدت زمان لازم برای شکستن انواع مختلف پسوردهارو توی سال ۲۰۲۲ نمایش میده.
همونطور که توی جدول بالا هم مشخصه، یک پسورد خوب نه تنها باید منحصر به فرد باشه و ترکیبی از حروف، اعداد و نمادها باشه، بلکه طول پسورد نقش اساسی توی مقاومتش ایفا میکنه.
یک کاربر معمولی توی اینترنت حدود ۱۰۰ اکانت مختلف داره. به خاطر سپردن این تعداد پسورد، اونم وقتی قراره این پسوردها منحصر به فرد و طولانی باشن، فراتر از قدرت حافظه خیلی از ماهاست.
نرم افزارهای مدیریت کلمه عبور یا Password Manager میتونن با ایجاد پسوردهای طولانی و پیچیده برای ما و البته نگهداری این پسوردها، این مشکل رو حل کنن. با این حال، طبق آمار توی سال ۲۰۲۱ فقط یک نفر از ۵ نفر از جمعیت آمریکا از پسورد منیجر استفاده میکنن.
خیلی از افراد، حوصله دردسرهای استفاده از اونو ندارن و بعضی از افراد اعتقاد دارن که نگهداری همه پسوردهاشون توی یک نرم افزار یا کمپانی ایده خیلی خوبی نیست. ولی آیا پسورد منیجرها قابل اعتمادن و اگر هک بشن چه اتفاقی میافته؟
چرا باید از پسورد منیجر استفاده کنیم؟
وقتی که یک نرم افزار مدیریت کلمه عبور مثل Bitwarden، Dashlane یا LastPass رو دانلود کنید، میتونید اطلاعات اکانتهای خودتون رو از جاهای دیگه مثل مرورگرتون ایمپورت کنید یا اگر بخواید یکم وسواس به خرج بدید، میتونید تمام اکانتهاتون رو یکی یکی وارد پسورد منیجر کنید و همزمان اکانتهای سرویسها یا وبسایتهایی که بهش نیاز ندارید، حذف کنید.
بعد از انجام این کار، نرم افزار پسورد منیجر میتونه برای اکانتهای جدیدی که ایجاد میکنید، پسوردهای پیچیده و طولانی ایجاد کنه؛ و زمانی که اون وبسایت رو باز میکنید به طور خودکار نام کاربری و کلمه عبور شما رو توی فیلدهای مربوطه قرار بده. این یکی از سختترین جنبههای امنیت پسوردهامون، یعنی به خاطر سپردن تعداد زیادی از پسوردهای طولانی و پیچیده رو حل میکنه. چون پسورد منیجر میتونه کار حفظ کردن پسوردهای مارو انجام بده، در نتیجه پسوردهامون میتونن طولانی و شامل کاراکترهای کاملاً تصادفی باشند.
علاوه بر این، نرم افزارهای مدیریت کلمه عبور بهمون کمک میکنن که برای هر اکانت از پسورد منحصر به فرد استفاده کنیم و پسوردهای تکراری رو توی سرویسها یا وبسایتهای مختلف استفاده نکنیم. این موضوع برای جلوگیری از حملات Credential Stuffing خیلی مهمه. این حمله زمانی اتفاق میافته که یک مهاجم از پسورد شما که ممکنه به هر روشی به دستش آورده باشه، برای دسترسی به اکانتهای دیگهی شما استفاده میکنه. مثلاً اگر پسورد اکانت اینستاگرم شما به نحوی لو بره و کسی بهش دسترسی پیدا بکنه و پسوردهای اکانتهای دیگه شما مثل ایمیلتون یا حتی اینترنت بانکتون با اون پسورد یکسان باشه، بدون دردسر میتونه به اون اکانتها هم دسترسی پیدا کنه.
مزیت دیگه پسورد منیجرها که اغلب نادیده گرفته میشه اینه که میتونن به جلوگیری از حملات فیشینگ کمک کنن. حمله فیشینگ نوعی حمله سایبری هست که در اون کلاهبرداران شما رو تشویق میکنن که روی یک لینک کلیک کنید و به صفحهای وارد بشید که به نظر میاد خیلی شبیه به صفحه وبسایتیه که توی اون اکانت دارید و در نهایت شما اطلاعات کاربری خودتون رو توی اون وارد میکنید و ناخواسته پسوردتون لو میره. از اونجایی که توی پسورد منیجرها میتونید اطلاعات هر اکانت رو به یک آدرس وبسایت خاص گره بزنید، بنابراین وقتی وارد یک وبسایت جعلی بشید که آدرس و ظاهر اون شبیه به وبسایتیه که توی اون اکانت دارید، اطلاعات کاربری شما به طور خودکار توی فیلدهای اون صفحه وارد نمیشه و میتونید بفهمید که اون صفحه تقلبی هست.
آیا پسورد منیجرها قابل اعتمادند؟
یکی از تصورات غلط در مورد نرم افزارهای مدیریت کلمه عبور اینه که ذخیره همه پسوردهامون توی یک نرم افزار خطرناکه. حقیقت اینجاست که استفاده از یک پسورد منیجر، به مراتب بهتر از استفاده از پسوردهای تکراری توی اکانتهای مختلف هست.
درسته که قرار دادن اطلاعات کاربری توی یک نرم افزار ریسک نسبتاً کمی داره، امّا احتمال اینکه یک نرم افزار مدیریت کلمه عبور دچار رخنه امنیتی بشه خیلی کمتره.
پسورد منیجرها اطلاعات کاربری رو با یک Master Password که خودتون انتخاب میکنید، با پیچیدهترین الگوریتمها رمزنگاری میکنند و تا زمانی که این پسورد وارد نشه امکان دسترسی به اطلاعات کاربری وجود نداره. بنابراین پسوردها هیچوقت به صورت متن ساده یا به اصطلاح فنیتر Plain Text، در دستگاهها یا سرورهای نرم افزار مدیریت کلمه عبور ذخیره نمیشن و به صورت رمزنگاری شده ذخیره میشن. اکثر پسورد منیجرها از الگوریتم AES برای رمزنگاری اطلاعات استفاده میکنند که رمزگشایی اون با روشهای Brute Force تا به امروز تقریباً غیرممکنه.
امنیت نرم افزار مدیریت کلمه عبور شما، بیشتر به قدرت و ایمنی Master Password که انتخاب میکنید بستگی داره. خیلی از نرم افزارهای پسورد منیجر برای افزایش امنیت، Master Password رو در سرورهایی مجزا ذخیره میکنند تا حتی اگر یک یا چندتا از سرورها دچار رخنه امنیتی شدن، دسترسی به سایر سرورها سختتر باشه.
از کدوم پسورد منیجر استفاده کنیم؟
بعضی از افراد هزینه مالی استفاده از نرم افزار مدیریت کلمه عبور رو یک مشکل اساسی میدونن. امّا حقیقت اینجاست که اگر هزینه هک شدن اکانتها یا حسابهای بانکی و دردسرهای بعد از اون رو در نظر بگیریم، خریدن اشتراک این نرم افزارها واقعاً ارزش داره. به اضافه اینکه جایگزینهای خوب، رایگان و متن باز مثل KeePass یا Bitwarden وجود دارن که میشه ازشون بدون دردسر استفاده کرد.
پسورد منیجرهای دیگهای هم مثل Apple Keychain یا Google Chrome Password Manager هستن که میشه ازشون استفاده کرد ولی مشکل اینجاست که استفاده از این نرم افزارها فقط روی دستگاههای اپل یا مرورگر گوگل کروم امکان پذیر هست. امّا بازم استفاده از این گزینهها بهتر از استفاده از پسوردهای تکراری در وبسایتها و سرویسهای مختلف هست.
قدم به قدم تا افزایش امنیت
پسورد منیجر به یک Master Password نیاز داره که باید اونو یادمون بمونه تا بتونیم به بقیه پسوردهامون دسترسی داشته باشیم. این Master Password باید تا حد امکان طولانی و پیچیده باشه، مثلاً یک عبارت یا مجموعهای از کلماتی که راحت یادمون میمونه به همراه تعدادی کاراکتر و اعداد تصادفی.
بعضی از نرم افزارهای مدیریت پسورد، رخنههای امنیتی توی وبسایتهایی که شما توی اونها اکانت دارید رو بهتون اطلاع رسانی میکنن. امّا اگر پسورد منیجری که انتخاب کردید این قابلیت رو نداره، نگران نباشید. میتونید از وبسایت HaveIBeenPwned برای بررسی اینکه پسوردتون لو رفته یا نه استفاده کنید. اگر پسورد اکانتتون در سرویس یا وبسایت خاصی لو رفته بود، حتماً پسورد اون اکانت و سایر اکانتهایی که در اونها از همون پسوردِ لو رفته استفاده میکنید، تغییر بدید.
از بین تمام پسوردها، پسورد ایمیلهاتون از همه مهمتره. اگر کسی بتونه به ایمیل شما دسترسی پیدا کنه، تقریباً به تمام اکانتهایی که با اون ایمیل ایجاد کردید دسترسی داره چون میتونه از ایمیل شما برای تغییر پسورد سایر اکانتهاتون استفاده کنه؛ به علاوه اینکه میتونه با جعل هویت شما، کلاهبرداری و سوء استفاده انجام بده.
برای همین پیشنهاد میشه که اکانتهاتون و پسورد منیجرتون رو به احراز هویت دو مرحلهای مجهز کنید. با احراز هویت دو مرحلهای، موقع ورود به اکانتهاتون علاوه بر پسورد، باید یک کد یکبار مصرف وارد کنید. این کد یکبار مصرف میتونه به صورت SMS به شماره تلفن خودتون ارسال بشه یا به یک اپلیکیشن که روی موبایلتون نصب و تنظیم شده. اپلیکیشنهای Google Authenticator و Authy گزینههای خوب و راحتی هستن و با اکثر سرویسها سازگاری دارن. اگر بازم امنیت بیشتری نیاز داشته باشید میتونید از کلیدهای امنیتی فیزیکی مثل YubiKey استفاده کنید.
حرف آخر
اضافه کردن یک به یک اکانتها توی نرم افزار مدیریت کلمه عبور احتمالاً سختترین مرحله برای هرکسی باشه، امّا میشه به تدریج این کارو انجام داد و بعد از اینکه تمام اکانتهاتون به نرم افزار اضافه شد، از سادگی کار با پسورد منیجر لذت ببرید.
نرم افزارهای مدیریت کلمه عبور ابزارهای مؤثری هستن که علاوه بر امنیت، راحتی رو فراهم میکنن ولی درمان همهی هکها یا رخنهها نیستن. حتی با پیچیدهترین، طولانیترین و بی نقصترین پسوردها بازم ممکنه قربانی هک یا رخنههای امنیتی بشیم. اتفاقاً یکی از دلایل استفاده از پسورد منیجر همینه که تنها یک رخنه امنیتی، موجب لو رفتن پسورد تمام اکانتهای ما نشه.
یادمون نره که امنیت یک موضوع نسبیه که ما فقط میتونیم بهبودش بدیم و هیچوقت نقطهای وجود نخواهد داشت که در اون امنیت صد درصدی داشته باشیم و هرکسی که بهتون چنین وعدهای میده بدون شک داره دروغ میگه.