چگونه یک پسورد قدرتمند بسازیم؟

چگونه می توان یک پسورد قوی و مطمئن ساخت؟ پسوردی که حتی key logger نیز نتواند آن را کشف کند...

1 598

چگونه یک پسورد قدرتمند بسازیم؟
5 (100%) 3 votes

 

پسورد یا کلمه عبور چیست؟

گذرواژه، کلمه عبور، رمزعبور یا اسم رمز یک کلمه یا جمله یا رشته‌ای از نویسه‌ها است که برای احراز اصالت مورد استفاده قرار  میگیرد. به بیان دیگر رمز عبور یا همان کلمه عبور، کلیدی است که برای دسترسی به اطلاعات شخصی خود که در رایانه و حساب های آنلاین ذخیره می­شود، به کار می رود.

افراد یا ابزارها برای استفاده از یک سامانه محافظت شده توسط گذرواژه، باید آن گذرواژه را به واحد اصالت‌سنجی آن سامانه ارائه دهند و در صورت ارائهٔ گذرواژهٔ درست مجاز به استفاده از آن سامانه می‌شوند، همچنین گذرواژه برای اثبات هویت نیز به کار می‌رود. به این صورت که کاربر یک سامانه با ارائه نام کاربری خود باید گذرواژه خود را نیز ارائه بدهد. در صورت ارائه گذرواژه درست، ادعای وی در مورد تعلق نام کاربری به وی مورد تأیید سامانه قرار می‌گیرد. پسورد ها در اغلب سامانه‌های رایانه‌ای و دستگاه‌های الکترونیکی مورد استفاده قرار می‌گیرند.

 

password

 

اهمیت پسورد چقدر است؟

اگر تبهکاران و یا دیگر افراد خرابکار رمز را سرقت کنند، می توانند از آن برای دسترسی به اطلاعات ما و دستکاری آن و حتی اخاذی استفاده کنند و یا تحت نام ما دست به عملیات آنلاین بزنند. گاهی اوقات ممکن است هکرها با دست یابی به پسورد بخواهند به حساب های بانکی دست پیدا کنند. در بعضی موارد اهداف آن ها امنیتی است و اثبات حقانیت و عدم دست داشتن در وقایع صورت گرفته، بسیار سخت خواهد بود. متاسفانه در بسیاری از موارد، ما زمانی متوجه این حملات می شویم که دیگر خیلی دیر شده است. به همین دلیل انتخاب یک پسورد مطمئن و غیر قابل شکست و نگه داری از آن دقیقا همانند کلید منزل یا گاو صندوق و یا هر چیز ارزشمند دیگری است که قصد محافظت از آن را داریم.

 

توصیه های کلی در انتخاب پسورد

با گسترش کارت‌های هوشمند بانکی، کارت سوخت و کارت‌های شناسایی متعدد دیگر، لزوم ایجاد و استفاده از رمزهای مختلف نیز مطرح شده است. برای اینگونه کارت‌ها عمدتا باید رمز عددی ایجاد شود. پس برای جلوگیری از لو‌رفتن رمز کارت باید در نظر داشته باشیم که به هیچ وجه اعداد مرتبط با تاریخ تولد، شماره شناسنامه، شماره‌ملی، پلاک منزل، تلفن همراه، تلفن ثابت و دیگر اطلاعات قابل حدس زدن را به‌عنوان رمز عددی این کارت‌ها تعیین نکنیم، چرا که درصورت سرقت کارت‌ها، به راحتی قابل‌حدس‌زدن توسط سارقین است. همچنین به هیچ‌وجه نباید رمز‌ها را در گوشی موبایل، روی کارت‌ها یا حتی روی کاغذ نوشت و یا داخل کیف پول قرار داد.

از سوی دیگر به خاطر استفاده از سرویس‌های متعدد اینترنتی مانند ای‌میل، وبلاگ، وب‌سایت، شبکه داخلی، رایانه یا لپ‌تاپ یا شبکه‌های اجتماعی و رسانه‌های آنلاین نیاز به ایجاد رمزهای متعدد وجود دارد. باید به یاد داشت که به هیچ‌وجه از یک رمز برای همه این سرویس‌ها نباید استفاده کرد، چون به محض لو‌رفتن یکی از آنها، بقیه سرویس‌های ما نیز به‌صورت دومینووار هک و سرقت می‌شود.

password

انتخاب و ایجاد رمز‌های پیچیده برای اکانت‌های مختلف کاربران اینترنت، به کاری سخت و مشقت بار تبدیل شده است. از طرفی بسیاری از کاربران اساسا نمی‌دانند که چه نوع رمز‌هایی مصون از هک‌شدن هستند. هرچند اغلب سرویس‌های ارائه‌دهنده ای‌میل، وبلاگ یا وب‌سایت در کنار گزینه ایجاد رمز، موتوری ایجاد کرده‌اند که قدرت رمز ما را می‌سنجد؛ یعنی اگر رمز به اندازه کافی قوی نباشد به ما اخطار می‌دهد. برخی از این سرویس‌ها حتی محدودیت‌هایی به لحاظ تعداد کاراکتر برای ایجاد رمز تعیین کرده‌اند.اخیرا گروهLulzSec ، بسیاری از وب‌سایت‌های معتبر دنیا از سونی، سگا، نینتندو تا سایت‌های دولتی آمریکا مانند CIA را مورد حمله قرار داده و اطلاعات محرمانه برخی را به دست آورده‌اند. این گروه که شامل هکرهای برجسته دنیا هستند 62‌ هزار آدرس ای‌میل را به همراه رمز عبور برای عموم منتشر کردند. با بررسی رمز عبور ای‌میل‌های هک شده می‌توان درس‌های مهمی گرفت. مهم‌ترین درسی که از اقدام اخیر این گروه می‌توان گرفت این است که باید برای ای‌میل‌های خود رمز عبور پیچیده انتخاب کنیم.

سال پیش گروه RockYou.com اعلام کرد که 32‌میلیون اکانت را که دارای رمز عبور 123456 بوده‌اند به دست آورده است. اکثر ای‌میل‌های هک شده توسط گروه اخیر، رمز عبور 123456 داشته‌اند. پس از آن 123456789 و password و abc123 از همه بیشتر استفاده شده‌اند.

رمزهای عبور دیگر که توسط LulzSec هک و منتشر شده‌اند دارای کلمات رایج و متداول مردم هستند، همچنین بیش از 20‌درصد رمزهای عبور کاربران تنها شامل عدد است. پس لازم است بدانیم که رمز عبور می‌بایست شامل حروف و اعداد باشد و حتما در آن از ترکیب حروف بزرگ و کوچک استفاده شود. در رمز عبور می‌توان از کاراکترهای خاص مانند $,# یا نقطه استفاده کرد. جالب است بدانیم که تنها 85‌صدم درصد از ای‌میل‌های هک شده توسط LulzSec دارای کاراکترهای خاص بوده‌اند.

 

چگونه پسورد مطمئن بسازیم؟

برای انتخاب یک کلمه عبور مطمئن باید حروف و اعداد غیرمحتمل را پشت سر هم قرارداد. هرچه رمز نامفهوم‌تر باشد، هک کردن آن سخت‌تر خواهد بود. توصیه‌های زیر برای ایجاد کلمه عبور مطمئن مناسب اند:

  • از انتخاب کلمات و عباراتی که اهمیت شخصی دارند مثل نام، نام خانوادگی، شماره شناسنامه، نام همسر، شماره تلفن، تاریخ تولد و… خودداری شود.
  • حروف، اعداد و علامت‌ها باید با هم ترکیب شوند. استفاده از فاصله (Space) و Shift+123… (@#$%^&*) تا حد زیادی از لو رفتن کلمه عبور جلوگیری می کند.هم چنین استفاده از Alt مثلا استفاده ترکیبی کلیدهای Alt+0140 یا Alt+0256 و… برای داشتن یک کلمه عبور مطمئن و مناسب قابل توجه است. مثلا انتخاب کلمه عبور ۱۲۳۴۵۶هیچ وقت نمی تواند کلمه عبوری مناسب و خوبی باشد. اگر رمز 123456 را برای ای‌میل خود انتخاب کرده‌اید، هم‌اکنون آن را تغییر دهید چرا که ای‌میل شما در معرض هک افراد سودجو قرار دارد.

 

secure password

 

  • باید راه خوبی برای به خاطر سپردن آن پیدا کرد. یک راه خوب برای انجام این کار این است که از نخستین حروف یک جمله‌ای که به خاطر داریم استفاده کنیم. در وسط جمله می‌توان از علامت‌های نشانه‌گذاری هم بهره برد.
  • هرچه طولانی‌تر بهتر. هیچ‌وقت کلمه عبور نباید کمتر از 6 کاراکتر داشته باشد.
  • راه دیگر این است که مثلا از یک کلمه مثل mardoman استفاده کرده و روی کیبورد، دست خود را یک ردیف بالاتر ببریم. مثلا mardoman می‌شود jq4e9jqh:
  • در هر صورت نباید رمز خود را به هیچ‌کس دیگر داد. حتی اگر رمز‌هایی توسط سیستم، بانک یا به‌طور پیش فرض توسط رایانه برای ما ایجاد شده بلافاصله آنها را تغییر داده و اساسا باید به‌صورت دوره‌ای رمز‌های خود را تغییر داد.
  • هیچ‌گاه نباید یک کلمه معنادار را به‌عنوان کلمه عبور تعیین شود. برخی نرم‌افزارهای هک و نفوذ، کل کلمات یک دیکشنری یا لغت نامه را در چند دقیقه به‌عنوان کلمه عبور احتمالی به سیستم می‌دهند و اگر کلمه عبور یکی از این کلمات باشد لو می‌رود!
  • هرگز به جز در سرویسی که عضو آن هستیم رمز و شناسه خود را نباید وارد کنیم. برخی نرم‌افزارهای هک رمز از صفحات قلابی مشابه صفحات اصلی برای سرقت رمز کاربران استفاده می‌کنند. همیشه به آدرس بالای صفحه باید دقت کرد، مثلا آیا واقعا این صفحه‌ای که از ما شناسه و کلمه عبور خواسته است یاهو یا جی‌میل است یا به جایی دیگر ختم می‌شود؟
  • تنظیمات ذخیره خودکار رمز روی سایت‌ها و رایانه‌های خود را باید غیرفعال کرد. درغیر این‌صورت هر وقت فردی به‌طور غیرمجاز یا تصادفی به رایانه ما دسترسی پیدا کند رمزهای ما هم لو خواهد رفت. این شیوه به‌ویژه در کافی‌نت‌ها بسیار رایج است.

در جدول زیر انواع کلمه عبورها و مدت زمانی که یک رایانه پیشرفته نیاز دارد تا یک کلمه عبور را حدس بزند نشان داده شده است.

 

table

 

مشاهده می شود که هرچه طول کلمه عبور انتخابی بلندتر و ترکیب بین حروف کوچک + بزرگ + اعداد و سمبل‌ها پیچیده‌تر باشد کلمه عبور محکم‌تر خواهد بود.

 

آیا پسورد امن نیز شکسته می شود؟

ما هر چقدر هم که کلمه عبور مشکلی داشته باشیم و از روشهای مختلف مثل ترکیب حروف و علائم و اعداد و یا تایپ حروف به صورت بزرگ و یا استفاده از کاراکتر Space و دهها روش دیگر استفاده کنیم، علاوه بر آنکه ممکن است کلمه عبور مشکل را خودمان هم فراموش کنیم، به راحتی امکان کشف آن توسط ساده ترین نرم افزارهای Key logger  وجود دارد .

نرم افزار های Key logger به نرم افزارهایی اطلاق می شود که تمامی کلیدهای ثبت شده توسط صفحه کلید را ذخیره می کنند . به طور مثال فرض کنیم کلمه عبور خود را در Gmail عبارت   “Pj h%11}edFd2” انتخاب کرده ایم. با اینکه یکی از بهترین کلمات عبور و مشکلترین آنها را انتخاب کرده ایم اما یک نرم افزار ثبت کننده کلیدهای صفحه کلید به راحتی همین عبارت را ذخیره کرده و در اختیار هکر قرار می دهد . چرا که ما ناچاریم برای تایپ کلمه عبور حروف فوق را تایپ کنیم.

 key logger

در این مقاله یک راه حل معرفی خواهیم کرد که با استفاده از آن می توان مطمئن بود یک کلمه عبور بسیار ایمن و غیرقابل کشف توسط هر نرم افزارو یا Key logger ای را خواهیم داشت.

مراحل کار به صورت زیر است:

کلمه عبور را دارای 12 کاراکتر در نظر می گیریم که عبارتند از :

3 عدد از بین اعداد 0 تا 9 . مثل 137 و یا 754 و …

ترکیب 4 حرف از حروف بزرگ و کوچک . مثل BEzY  یا مثل iUNj و …

3 علامت از علائم موجود در صفحه کلید. (کاراکتر فاصله هم می تواند مورد استفاده قرار گیرد). برای مثال @}^  و یا *=! و …

 و در آخر 2 کاراکتر که از ترکیب فشردن هر مرتبه کلیدهای Alt + یک عدد سه رقمی بدست می­آید. مثلا اگر کلید Alt را نگه داشته و عدد 968 را تایپ کنیم، کاراکتر ψ ثبت می گردد. هم چنین ترکیب کلیدهای Alt+409 کاراکتر ƙ را ایجاد می کند.

تا اینجا ترکیب سمبل های انتخاب شده پسوردی را ساخته است که با استفاده از قوی ترین نرم­افزارهای تحلیل و شکست پسورد نیز، هزاران سال طول می کشد تا پسورد کشف شود. اما اگر یک نرم افزار ثبت کلید چند مگا بایتی به وسیله ویروس یا شخص خرابکار یا به هر طریقی در رایانه شما نصب شده باشد، حین ثبت پسورد توسط شما، نرم افزار نیز آن را ثبت می کند. به همین دلیل است که باید از صفحه کلیدهای مجازی استفاده کنیم. چونکه نشانگر ماوس قابل ثبت نیست و از این رو صفحه کلیدهای مجازی در هر بار استفاده، هم حروف و هم اعداد را به طور تصادفی جابجا می کنند.

ممکن است در یک سیستم شخصی و غیر از صفحات اینترنتی بخواهیم پسورد خود را وارد کنیم. مثلا یک نرم افزار خاص که روی کامپیوتر اداره نصب شده و پسورد آن فقط در اختیار ماست. اگر همکار فضولی در روی آن کامپیوتر key Logger نصب کرده باشد و شما ندانید، پسورد امن شما بر باد می رود. پس چه باید کرد؟

در چنین شرایطی، پسورد امن ساخته شده در مراحل قبل را به 2 قسمت تقسیم می کنیم. ابتدا بخش اول (6 کاراکتر) را تایپ می کنیم. سپس با استفاده از ماوس مکان نما را به بعد از مثلا دومین حرف بخش اول انتقال داده و سپس بخش دوم را تایپ می کنیم. یعنی بدون استفاده از کلیدهای جهت نما و با استفاده از ماوس مکان قرار گیری مکان نمای ماوس را تغییر می دهیم. بنابراین دو بخش پسورد، با استفاده از جابجایی نشانگر ماوس که قابل تشخیص نیست، در هم تنیده شده و دیگر هیچ ابر نرم افزاری نیز نمی تواند آن را کشف کند. به این دلیل که نرم افزارهای key logger ترتیب ثبت کاراکترها را ذخیره میکنند، اما از جایگاه واقعی آن ها خبر ندارند و بنابراین پسورد کشف شده توسط آن ها نادرست خواهد بود.

 

نتیجه مطلب

با توجه به جدول ارائه شده، دریافتیم که کلمه عبوری مطمئن است که ترکیبی از حروف بزرگ و کوچک، اعداد، علائم و … باشد. در ضمن همان طور که گفته شد یک مهاجم می تواند نرم افزار Key logger را به مثلا رایانه فرد قربانی انتقال دهد و مشکل ترین کلمه های عبور را بدست آورد.

با استفاده از تکنیک جابجایی نشانگر ماوس در هنگام وارد کردن کلمه عبور مورد نظر، چون نرم افزار های  key logger قادر به ثبت جابجایی نشانگر ماوس نیستند، آنگاه حتی اگر کل کاراکترهای کلمه عبور را تشخیص دهند از ترتیب آنها آگاه نبوده و قادر به تعیین کلمه عبور واقعی نخواهند بود. به دلیل اینکه فضای جستجوی کلمه عبور ترکیبی (اعداد، علائم، حروف و…) بسیار بزرگ خواهد بود. حال اگر ما هر چند وقت، کلمه عبور خود را با این روش تغییر دهیم عملا برای قوی ترین هکرها با در دست داشتن بیشترین امکانات دستیابی به کلمه عبور ما و سوءاستفاده از آن غیر ممکن خواهد بود.

 

 

چگونه قدرت پسورد را بسنجیم؟

حال با توجه به تکنیک های آموزش داده شده در این مقاله، یک پسورد برای خود بسازید. سپس با استفاده از سایت های ارزیابی قدرت پسورد، امنیت آن را بسنجید. یکی از معروف ترین این سایت ها passwordmeter است.

برای مثال قدرت یک پسورد ساخته شده به روش فوق را توسط سایت passwordmeter بررسی کردیم که در تصویر زیر نشان داده شده است.

 

password cracker

 

همچنین سایت هایی وجود دارند که میزان امنیت یک پسورد را با تخمین مدت زمانی محاسبه آن نشان می دهند. مثلا یک پسورد متشکل از حرف و عدد ممکن است در کسری از زمان شکسته شود.

دوباره با استفاده از روش پیشنهادی این مقاله، یک پسورد جدید ساختیم و در سایت random-ize.com مدت زمان شکستن آن را بررسی کردیم که در تصویر زیر نشان داده شده است.

 

تخمین زمان شکست پسورد

 

ضعیف ترین پسوردهای دنیا کدامند؟

در سال 2018 ضعیف ترین رمزهای دنیا معرفی شدند که نام رئیس جمهور آمریکا نیز در بین آنها دیده میشود.

  1. 123456
  2. Password
  3. 12356789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1

 

 

چگونه یک پسورد قدرتمند بسازیم؟
5 (100%) 3 votes

1 نظر
  1. سروش می گوید

    عالی بود…

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.