۲۰ رمز عبور که تاوان سختی برای انتخاب آن‌ها خواهید داد

به گزارش پیوست، برای بسیاری از افراد فرآیند انتخاب رمز عبور کار سخت و دشواری است و تعداد زیادی از کاربران و حتی مدیران سایت نیز نسبت به انتخاب رمز عبور درست و مناسب بی‌توجه هستند. بر اساس گزارش شرکت امنیت سایبری Outpost24 رمزهای عبور تکراری و ساده مسیر را برای هک و به خطر افتادن اطلاعات کاربران به سهولت فراهم می‌کند.

چرا توصیه‌های انتخاب رمز عبور مهم است؟

شاید فکر کنید همه از توصیه‌های انتخاب رمز عبور اطلاع دارند و آن را رعایت می‌کنند. ولی طبق تحقیقات اخیر شرکت امنیت سایبری اوت پست ۲۴ (Outpost24)، بیشترین رمز عبوری که مدیران سایت‌ها از آن استفاده می‌کنند، به طرز نگران‌کننده‌ای «admin» است. این رمز به راحتی قابل حدس زدن است و حتی یک رمز عبور پیش‌فرض برای راه‌اندازی اولیه و ورود به سیستم محسوب می‌شود.

دارن جیمز، مدیر محصول اوت پست ۲۴، در مصاحبه‌ای گفت:«با توجه به اینکه زندگی شخصی و کاری ما در حال حاضر بیشتر  آنلاین شده است، ما واقعاً باید رویکرد خود را در مورد رمز عبور تغییر دهیم. استفاده از رمزهای عبور کوتاه، یکسان و آسان برای حدس زدن در چندین سیستم به خاطر سپردن آن را ساده می‌کند، اما در مقابل حمله بسیار آسیب‌پذیر است.»

• سامانه نظارت مداوم و جمع‌آوری اطلاعاتی اوت پست 24 تقریباً ۱.۸ میلیون رمز عبور را شناسایی کرد. در این میان «Admin» بیش از ۴۰۰۰۰ ورودی داشت و پس از آن «۱۲۳۴۵»، «۱۲۳۴۵۶۷۸»، «۱۲۳۴» و «Pasword» قرار گرفتند. لیست شامل موارد زیر است:
• admin
• ۱۲۳۴۵
• ۱۲۳۴۵۶۷۸
• ۱۲۳۴
• Password
• ۱۲۳
• ۱۲۳۴۵۶
• admin۱۲۳
• ۱۲۳۴۵۶۷۸۹
• adminisp
• demo
• root
• ۱۲۳۱۲۳
• admin@۱۲۳
• ۱۲۳۴۵۶aA@
• ۰۱۰۳۱۹۷۴
• Admin@۱۲۳
• ۱۱۱۱۱۱
• admin۱۲۳۴
• admin۱

چطور از رمز عبور در برابر کلاهبرداران حفاظت کنیم؟

تحقیقات در مورد حملات سایبری هم رعایت به توصیه‌های انتخاب رمز عبور را تایید می‌کنند. برای مثال، مطابق با نتایج گزارش بررسی‌های نقض داده‌های وریزون (Verizon) یکی از سه راه اصلی دسترسی مهاجمان به یک سازمان، سرقت اعتبار و همچنین فیشینگ و سوءاستفاده از نقاط آسیب‌پذیر است.

کلاهبرداران بیش از سایر روش‌ها از بدافزارهای تخصصی‌تر سرقت رمز عبور استفاده می‌کنند. پس از نصب بدافزار زمانی که کاربر روی لینک تقلبی کلیک می‌کند، آن‌ها در پس‌زمینه منتظر هستند و اطلاعات مربوط به کاربر مانند رمز عبورهای مرورگرهای وب، کلاینت‌های FTP، کلاینت‌های ایمیل و فایل‌های کیف پول را جمع‌آوری می‌کنند.

روش دیگری که سارقین در مورد رمزهای عبور اجرا می‌کنند، حمله brute-force یا آزمایش ترکیب‌های مختلف رمز عبور با امید به حدس زدن کلمه عبور درست است. این روش با در نظر گرفتن اطلاعات رمز عبورهای جمع‌آوری ‌شده توسط اوت پست 24، کار دشواری نخواهد بود. علاوه بر این، آن‌ها پسوردهای به‌دست‌آمده از یک حساب کاربری را در حساب‌های دیگر هم امتحان می‌کنند.

چرا برخی از کاربران به توصیه‌های انتخاب رمز عبور عمل نمی‌کنند؟

بنابراین، بسیاری از ما خطرات انتخاب رمزعبورهای قابل حدس را می‌دانیم. پس چرا هنوز در مورد انتخاب رمزهای عبور تنبل هستیم و به توصیه‌های انتخاب رمز عبور عمل نمی‌کنیم؟

طبق نظر جیمز این مشکل فقط تقصیر کاربر نیست. سازمان‌ها و سرویس‌ها باید خط‌مشی‌های مناسب و ابزارهایی داشته باشند که بتوانند از سیاست‌های انتخاب رمز عبور خوب پشتیبانی کنند.«پسوردهای بد باید حذف شوند. اما به طور کلی مدیران سیستم هم انسان هستند و مانند بقیه ما از میانبرها استفاده می‌کنند.»

بسیاری از سیستم‌ها هنوز به رمزهای عبور قدیمی و کوتاه ۷تا ۱۲ کاراکتر متکی هستند. این سیستم‌های قدیمی قبل از تبدیل اینترنت به یکی از ابزارهای زندگی روزمره ما کاربرد داشتند. سازمان‌ها اغلب راهنمایی‌هایی برای تغییر رمز عبور به کاربران ارائه نمی‌دهد، بنابراین آن‌ها الگوهای قابل پیش‌بینی را دنبال می‌کنند. مثلا پس از این‌که از کاربران خواسته می‌شود رمز عبور خود را تغییر دهد، آن‌ها تنها یکی از اعداد را تغییر می‌دهند. بنابراین لازم است به این نکته توجه کنید که همه ما در این امر مقصر بوده‌ایم.

راهکارهای تشویق به رعایت توصیه‌های انتخاب رمز عبور

طبق نظر جیمز، رمزهای عبور پیش‌فرض باید به‌ محض اولین استفاده به‌ طور خودکار تغییر کنند. در واقع این باید توسط شرکت به کاربر الزام شود.

همچنین سازمان‌ها باید اطمینان حاصل کنند که سیاست‌های درستی دارند و این سیاست‌ها برای افراد مناسب اعمال می‌شود. همچنین ادمین سایت‌ها باید ۲ اکانت داشته باشند، یکی برای فعالیت‌های غیر مدیریتی مانند انجام تحقیق و غیره و یک رمز عبور متفاوت برای نقش مدیریت یا ادمین سایت.

مطابق با نظر جیمز: «آن‌ها باید مجبور شوند از پسوردهای طولانی، قوی و غیر قابل نفوذ برای حساب‌های مدیریتی استفاده کنند. همچنین توصیه می‌کنم ادمین‌ها پسوردشان را به طور منظم تغییر دهند.»

راهکارهای حفظ رمز عبور مناسب

حساب‌های مدیریت باید تا حد امکان دارای احراز هویت چند عاملی (MFA) باشند. علاوه بر این، اگر مدیر در پسوردهای زیاد غرق شده باشد و آن‌ها را بدون نوشتن یا ذخیره در اسناد یا ایمیل به خاطر بسپارد، لازم است برای جلوگیری از بروز مشکلات امنیتی از یک مدیر رمز عبور استفاده کند.

همچنین توصیه می‌شود رمز عبور سیستم‌های مدیریتی یک عبارت قوی باشد که طولانی‌تر از رمزهای عبور معمول است. در این صورت حدس زدن آن برای هکرها دشوارتر است. به عنوان مثال سه کلمه تصادفی متشکل از ۱۵ کاراکتر که برای کاربر معنی دارد.

طبق گفته جیمز:«امروزه برای بسیاری از ما داشتن ۱۰ یا شاید حتی صدها رمز عبور غیرعادی نیست و این کار از عهده بسیاری از ما خارج است که برای هر سیستمی که وارد آن می‌شویم، رمزهای عبور منحصر به فرد ایجاد کنیم. مهم این است که از پسوردهای پیش‌فرض دوری کنید. از ابزارهای ضد بدافزار استفاده کنید و تنظیمات ذخیره رمز عبور و تکمیل خودکار مرورگر را غیر فعال نگه دارید.»

وی تاکید کرد: «همچنین در زمان ورود به وبسایت‌ها به تایپیک دامنه توجه کنید. با توجه به اینکه هکرها دامنه‌هایی را با نام‌های دارای اشتباه املایی از وبسایت‌های رایج ثبت می‌کنند. لازم است دقت کنید که پس از کلیک روی تبلیغات به سمت سایت‌های صحیح هدایت شده باشید.»

جمع‌بندی

اگر از جمله کسانی هستید که در ساخت رمز عبورهای قوی، طولانی و پیچیده موفق بوده‌اید و از یافته‌های اوت پست 24 متعجب شده‌اید، طبق توصیه جیمز «به کار خوب خود ادامه دهید! در عین حال، مراقب باشید و به همکاران و اطرافیانتان توصیه و راهنمایی‌های لازم را ارائه دهید.»

در نهایت، طبق گفته جیمز، پسوردها، چه بخواهیم و چه نخواهیم، ​​بخش کلیدی فرآیند احراز هویت هستند و این برای آینده قابل پیش‌بینی به همین صورت باقی خواهد ماند. به این ترتیب، بسیار مهم است که ما سعی کنیم از آن‌ها به درستی استفاده کنیم، زیرا فقط یک اشتباه برای افشای کل زیرساخت یا زندگی شخصی کافی است.

منبع: venturebeat