سرفصل‌های آموزشی
آموزش OWASP TOP 10
پسوردهای مورد علاقه هکرها قسمت دوم

پسوردهای مورد علاقه هکرها قسمت دوم

پسوردهای مورد علاقه هکرها قسمت دوم

در قسمت قبل راجع به رمز عبور های پیش فرض در مودم ها و CMS ها و حملات Brute Force صحبت کردیم و در این قسمت می خواهیم در مورد در این قسمت راجع به رمز عبور های با پیچیدگی کم، استاندارد های انتخاب رمز عبور امن و معرفی ابزار تولید رمز عبور تصادفی و امن صحبت کنیم.

رمز عبور های با پیچیدگی کم

نکته بعدی که لازم است به آن اشاره کنیم، استفاده نکردن از رمز عبور های با پیچیدگی کم هست.

زمانی که به لیست خطرناک ترین رمز عبور های دنیا در سال 2020 و سال های قبل نگاه می اندازیم (ابتدای مقاله) مشاهده می کنیم که خطرناک ترین و در عین حال محبوب ترین رمز عبور ها، رمز عبور هایی هستند که عمدتا 2 ویژگی زیر دارند:

  1. صرفا شامل اعداد و حروف می شوند.
  2. طول آن ها نسبتا کوتاه هست.

رمز عبور هایی که در آن ها از کاراکتر خاصی از قبیل @ و !  استفاده نشده و همین طور طول کمی دارند کار را برای هکر آسان می کنند.

با توضیحاتی که در بخش Brute-Force دادیم باید این موضوع روشن شده باشد که اگر 2 شرط بالا رعایت شود، امکان پیدا کردن رمز عبور بسیار پایین می آید و درنتیجه امنیت حساب کاربری شما بسیار افزایش می یابد.

مثلا هک کردن رمز عبوری که طول آن 18 کارکتر هست و در عین حال در آن از کاراکتر های خاصی مانند @ استفاده شده است، به روش Brute-Force با کامپیوتر های عادی غیر ممکن هست و یا اینکه زمان خیلی زیادی می برد که در اغلب مواقع از حوصله هکر خارج است.

نکته دیگری هم که باید در این بخش به آن اشاره کنیم استفاده نکردن از رمز عبور هایی شبیه نام کاربری یا ایمیل و همچنین استفاده نکردن از رمز عبور های مشابه برای سامانه های مختلف هست. 

مثلا نام کاربری حسابی Sokan هست و رمز عبورش Sokan12345؛ در این موارد کار هکر خیلی آسان است و کافی است تا ترکیب های ساده و رایجی از نام کاربری یا ایمیل را با اعداد و ... تست کند تا به رمز عبور کاربر دست پیدا کند.

همین اتفاق می تواند در ایمیل افراد بیفتد و رمز عبور ایمیل عبارتی شبیه خود ایمیل باشد.

نکته بسیار مهم در مورد ایمیل این است که با هک ایمیل شما دسترسی به تک تک حساب های کابری شما در سایت های دیگر برای هکر ایجاد می شود.

مثلا برای هکر کردن حساب اینستاگرام شما کافی است هکر در اینستاگرام گزینه Forget password را بزند و لینک ریست رمز عبور را در ایمیل دریافت کرده و با ریست کردن رمز عبور وارد اکانت اینستاگرام شما شود.

سعی کنید برای سامانه های مختلف مثلا ایمیل و حساب اینستاگرام و حساب های سایت های دیگرتان رمز عبور های متفاوتی را تنظیم کنید.

استاندارد های انتخاب رمز عبور امن

در این بخش می خواهیم استاندارد های انتخاب یک رمز عبور امن و به دور از خطر هک را بررسی کنیم.

برای اینکه رمز عبور امنی داشته باشیم باید یک سری کار ها را انجام داده و از انجام تعدادی از آن ها پرهیز کنیم.

  1. طول رمز عبور حداقل از 12 کاراکتر تشکیل شده باشد. در این مورد حداکثری وجود ندارد و هر چه طول رمز عبور بیشتر خطر هک کمتر!
  2. کاراکتر های تشکیل دهنده رمز عبور شامل طیف وسیعی از کارکتر های ASCII باشد؛ شامل حروف کوچک و بزرگ، اعداد، سمبل های مختلف از جمله % و # و $.
  3. در عین حال که رمز عبور طول زیاد و پیچیدگی بالایی دارد اما قابلیت سپردن به حافظه را داشته باشد و طوری نباشد که کلا فراموش شود.
  4. بهترین راه استفاده از ابزار های آنلاین تولید رمز عبور هست که در مورد آن صحبت خواهیم کرد.
  5. رمز عبور انتخابی از موارد ذکر شده در دیکشنری های رمز عبور که به یکی از آن ها اشاره کردیم نباشد. یعنی اینکه سعی کنید از کلمات رایج و معنادار استفاده نکنید؛ زیرا که به احتمال زیاد این کلمات قبل هک شده اند و در نتیجه در Dictionary های مختلف قرار گرفته اند.
  6. رمز عبورتان را هر چند وقت یکبار تغییر دهید. زیرا که بعد از مدتی هکر ها مطمئن می شوند که رمز شما تغییر نخواهد کرد و فرصت بیشتری برای هک آن پیدا می کنند.
  7. از اسامی آشنا و مربوط مانند سال تولد یا نام خانوادگی و ... استفاده نکنید.
  8. اگر می خواهید رمز عبورتان را تغییر دهید، رمز جدیدی کاملا متفاوت از رمز عبور قبلی انتخاب کنید.

مثلا رمز @LIi1368 را به رمز @LIi136800 تغییر ندهید.

  1. از رشته های کنار هم کیبورد استفاده نکنید. رمز عبور هایی شبیه qazWSX123 یا QWErty

به دلیل کنار هم بودن حروف راحت تر قابل حدس هستند.

نکته آخری که در این بخش باید اشاره کنیم ذخیره نکردن رمز عبور در مرورگر هاست.

قطعا با این موضوع برخورد کرده اید که وقتی در یک سایتی به حساب خود وارد می شوید مرورگر از شما می پرسد که آیا این رمز را ذخیره کند یا خیر.

باید بگوییم که یکی از خطر های دیگر در همین جاست. اغلب ما برای راحتی کار و ترس از فراموشی رمز عبور، گزینه save را می زنیم؛ غافل از اینکه ذخیره شدن رمز عبور در مرورگر همانا و به خطر افتادن حجم زیادی از اطلاعات ما همانا!!

زمانی که گزینه save را انتخاب می کنید این رمز عبور در حساب کاربری ایمیل شما ذخیره می شود و کافی است هکر به ایمیل شما دسترسی پیدا کند و در نتیجه به تمام رمز عبور های ذخیره شده در مرورگر شما دسترسی پیدا می کند.

برای حذف این رمز عبور های ذخیره شده در مرورگر کروم به ترتیب زیر عمل می کنیم:

  1. ابتدا وارد بخش settings می شویم.
  1. وارد قسمت passwords می شویم.
  1. اگر می خواهید که مرورگر از این بعد پیشنهاد ذخیره رمز عبور را به شما ندهد، گزینه offer to save passwords را غیر فعال کنید.
  1. اگر می خواهید رمز عبور های ذخیره شده قبلی را حذف کنید، در بخش search passwords در بالای صفحه هر سایتی را که مدنظر دارید جستجو کنید و بعد از نمایش آن مطابق شکل زیر گزینه remove را انتخاب کنید.

معرفی ابزار تولید رمز عبور تصادفی و امن

در این بخش به عنوان حسن ختام مقاله می خواهیم یکی از ابزار هایی که رمز عبور های تصادفی و در عین حال امن تولید می کنند را بررسی کنیم.

Lastpass سایتی آنلاین است که رمز عبور های امن برای شما تولید می کند.

در این سایت می توانید به صورت دلخواه طول رمز عبور و میزان امنیت آن را مشخص کنید.

مشاهده می کنید که بر حسب طول داده شده توسط خود ما (12) این ابزار رمز عبور بالا را تولید می کند.

حالا که مسائل مربوط به انتخاب یک رمز عبور امن و بی خطر را با هم مرور کردیم با استفاده از سایت Randomize رمز عبور انتخابی خودتان را محک بزنید و ببینید که چقدر زمان لازم است تا این رمز عبور هک شود.

برای مثال همین رمز عبور تولید شده 0pN&N$M##boB را در سایت زیر وارد می کنیم.

همانطور که مشاهده می کنید هک کردن رمز عبور بالا حدود 5 هزار سال زمان می برد!!!

online-support-icon