چگونگی ایجاد رمز عبورهای مطمئن و نگهداری از آنها
به روز شد2010
این راهنما دیگر بهروز نمیشود
در بسیاری از سرویسهای امن اینترنتی که انجام برخی فعالیتهای روزمره از قبیل امور تجاری و بانکی، فرستادن رایانامه (ایمیل)، تا رمزگذاری و پنهانسازی اطلاعات و مانند آن را برای شما امکانپذیر میکنند، دارا بودن رمز عبور لازم است. این کلمات مرموز که ممکن است به صورت عبارتها و واژههای عجیب و غریب و گاهی نامفهوم انتخاب شده باشند، در واقع نخستین و تنها دیوار دفاعی بین اطلاعات شما و کسانی است که به صورت غیرمجاز به دنبال دسترسی به آن اطلاعات هستند. علی رغم آن که روشهای متعددی برای کشف رمزهای عبور وجود دارد اما میتوان با به کار گرفتن ترفندهای خاص و استفاده از ابزارهای مدیریت بانک اطلاعاتی رمزهای عبور، مانند نرمافزار KeePassX، در مقابل آنها مصون ماند.
آنچه در این فصل میآموزید:
- اجزای سازندهی یک رمز عبور مطمئن
- چند ترفند ساده برای به خاطر سپردن رمزهای عبور طولانی و پیچیده
- آشنایی با نحوهی استفاده از نرمافزار مدیریت بانک اطلاعاتی رمزهای عبور KeePassX که به شما کمک میکند تا به جای به خاطر سپردن رمزهای عبور، آنها را در جایی امن ذخیره کنید.
انتخاب رمزهای عبور مطمئن و نگهداری از آنها
معمولاً برای محافظت از اشیاء و وسایل ارزشمند، آنها را در مکانی مطمئن قرار داده، در آن جا را قفل کرده و کلید را پیش خود نگه میدارید. قفلهای خانه، اتومبیل و حتا دوچرخه همگی دارای کلیدهای فیزیکی و قابل لمس هستند؛ در مقابل فایلهای محرمانه و حساس دارای رمز؛ کارتهای بانکی دارای رمزهای عددی (PIN) و شناسهای رایانامه (ایمیل) دارای رمز عبور میباشند. همهی این کلیدها اعم از فیزیکی یا دیجیتال دارای یک ویژگی مشترک هستند: این کلیدها چه در دست شما و چه در دست هر کس دیگری باشند، قفلهای مرتبط با خود را به راحتی باز میکنند. اگر رمز عبورهایی که انتخاب میکنید، ضعیف و قابل حدس باشند و یا به دست افراد غیر مجاز افتاده باشند، استفاده از دیوارهای آتش پیشرفته، شناسههای رایانامهی (ایمیل) امن و وسایل ذخیرهساز رمزگزاری شده هیچ فایدهای برای حفظ اطلاعات محرمانهتان نخواهد داشت.
اجزای سازندهی رمز عبورهای قوی
رمز عبور باید آنقدر مشکل و پیجیده باشد که برنامههای رایانهای رمزیاب توان حدس زدن و گشایش آن را نداشته باشد. رعایت نکتههای زیر به شما در ایجاد رمز عبور قوی و مطمئن کمک میکند:
از رمز عبورهای طولانی استفاده کنید: هرچه رمز عبور طولانیتر باشد، احتمال آن که برنامههای رمزیاب در زمانی معقول قادر به کشف آن باشند، کمتر است. هموراه سعی کنید رمز عبورهایی بسازید که دارای ۱۰ یا بیش از ۱۰ حرف باشند. برخی افراد در رمز عبورها از بیش از یک کلمه، همراه با با فاصله یا بدون فاصله بین کلمهها، استفاده میکنند. این گونه رمز عبورها را اغلب «password» یا «رمز عبوذ» یا «گذرواژه» مینامند. پس توصیه میشود که اگر برنامه یا سرویس مورد استفاده شما امکان میدهد، رمز عبور طولانی بسازید.
رمز عبور خود را پیچیده کنید: علاوه بر طولانی بودن، پیچیدگی رمز عبور مانع از آن میشود تا برنامههای رمزیاب موفق به حدس دقیق ترکیب حرفها و در نتیجه کشف رمز عبور شوند. یک رمز عبور خوب باید علاوه بر حروف کوچک، حاوی اعداد، حروف بزرگ و ترجیحا علایم و نشانهها (مانند !،@ و *) نیز باشد.
رمز عبور باید آنقدر مشکل باشد تا دیگران قادر به حدس زدن آن نباشند.
رمز عبوری بسازید که در عین مشکل بودن بتوان آن را به خاطر سپرد: اگر رمز عبور انتخابی شما به گونهای است که چون قادر به حفظ کردن آن نیستید مجبورید آن را در جایی یادداشت کنید، این خطر وجود دارد که افراد غیر مجاز با آگاه شدن از محل نگهداری یادداشتهای شما -که میتواند در کشوی میز، جایی در منزل، داخل کیف پول یا حتا سطل آشغال باشد- به آن رمزها دست یافته و اطلاعات محرمانهی شما را در معرض تهدید جدی قرار دهند. اگر نمیتوانید رمز عبوری بسازید که طولانی و پیچیده و در عین حال قابل حفظ کردن باشد، اطلاعات بخش چگونگی به خاطرسپردن رمز عبورهای مطمئن ممکن است به شما کمک کند. اگر پس از مطالعهی آن بخش، باز هم به نتیجهی دلخواه دست نیافتید نباید از انتخاب و ایجاد رمز عبورهای محفوظ و مطمئن ناامید شوید. زیرا برنامههای مدیریت بانک اطلاعاتی رمز عبورهای مانند KeePassX شما را در ذخیره و نگهداری امن رمز عبورهایتان یاری میدهند. توجه داشته باشید که نباید از فایلهای قابل محافظت با رمز (چون Microsoft Word یا WinRAR) برای ذخیرهی رمز عبورهای استفاده کنید. رمز این گونه فایلها به راحتی و با استفاده از برنامههای رمزیابی که در سطح اینترنت و به صورت رایگان پراکندهاند، خیلی ساده و در عرض چند ثانیه گشوده میشود.
رمز عبور نباید ارتباطی با مشخصات فردی شما داشته باشد: برای ساختن رمز عبورهای خوب از کلمه یا عبارتی استفاده نکنید که در برگیرندهی نام، شماره کارت ملی، شماره تلفن، نام فرزند، تاریخ تولد و یا هر ویژگی دیگری که بشود با انجام کمی تحقیق در مورد شما و زندگی شخصی تان آن را حدس زد، باشد.
رمز عبورتان را مخفی نگه دارید: رمز عبور خود را به هیچکس -مگر آن که واقعاً لازم باشد- ندهید. اگر مجبور شدید که رمز عبور خود را به یک از دوستان، اعضای خانواده یا همکارتان بگویید، بهتر است ابتدا آن را یه یک رمز عبور موقتی تغییر دهید و در اختیار فرد مورد نظر قرار دهید. پس از آن که وی دیگر احتیاجی به آن نداشت، رمز عبور را به شکل اولش برگردانید. البته راههای دیگری نیز غیر از بازگو کردن رمز عبور به دیگران وجود دارد، مثلاً میتوان برای فردی که نیاز به استفاده از رایانهب شما دارد، شناسهی جداگانه ساخت. در این صورت، این فرد علی رغم استفاده از رایانهی شما امکان به دسترسی به اطلاعاتتان نخواهد داشت. مخفی نگه داشتن رمز عبور همچنین مستلزم آن است که مراقب باشید تا در هنگام تایپ کردن آن و یا جستوجوی آن در بانک اطلاعاتی رمز عبورهای، افراد غیر مجاز با نگاه دزدکی از روی شانههای شما قادر به دیدن آن نباشد.
رمزعبورتان را طوری انتخاب کنید که در صورت لو رفتن آن زیان چندانی به شما وارد نشود.
از رمز عبورهای منحصر به فرد و غیر یکسان استفاده کنید: استفاده از یک رمز عبور برای بیش از یک شناسه جدا خودداری کنید. در غیر این صورت، اگر فردی موفق به کشف رمز عبور شما شود، حجم وسیعتری از اطلاعات شما در معرض خطر خواهد بود. اهمیت این مسأله خصوصا از آن جهت است برخی برنامههای رمزیاب میتوانند به سادگی برخی رمزها را کشف کنند. مثلاً اگر از یک رمز عبور یکسان برای ورود به ویندوز و ورود به شناسهی رایانامهی (ایمیل) خود استفاده کنید، فرد بدنیت با شکستن رمز ویندوز که کار چندان سختی هم نیست میتواند به نامههای شما از طریق ورود به شناسهی رایانامهتان دسترسی یابد. علاوه بر این، حتا اگر دارای چندین رمز عبور متفاوت هستید، هرگز آنها را بین شناسههای مختلف خود جابهجا نکنید.
رمز عبورهایتان را به طور دورهای تغییر دهید: حداقل هر سه ماه یک بار رمز عبورهایتان را تغییر دهید. برخی افراد به یک رمز عبور خاص عادت کرده، هرگز آن را تغییر نمیدهند. لطفاً از این ایده پیروی نکنید. هر چه رمز شما به مدت طولانیتری بدون تغییر باقی بماند، احتمال حدس زدن یا کشف کردن آن توسط دیگران بالاتر میرود. به علاوه اگر کسی بدون آن که متوجه شوید موفق به کشف و دزدیدن رمز عبور شما شود، تا زمانی که آن رمز عبور خاص تغییر نکرده است، به اطلاعات شما از هر نوعی که هست، دسترسی خواهد داشت.
به خاطر سپردن و ثبت رمزهای عبور مطمئن
با نگاهی به فهرست نکاتی که در بالا به آنها اشاره شد ممکن است با خود بگویید که چگونه ممکن است کسی که از حافظهی خوبی برخوردار نیست بتواند رمز عبورهای پیچیده، طولانی و نامفهموم بسازد و آنها را بدون یادداشت کردن به خاطر بسپارد. علاوه بر این، ضرورت دارا بودن رمزهای متفاوت برای شناسههای مختلف، یادآوری آنها را حتا دشوارتر هم میکند. با این وجود، با به کار بردن برخی ترفندها میتوان رمز عبورهایی ساخت که نه تنها بتوان آنها راحت به خاطر سپرد بلکه کشف آنها برای افراد غیرمجاز –حتا با در اختیار داشتن تکنولوژیهای پیشرفتهی رمزگشایی– بسیار دشوار باشد.
گذشته از اینها، امکان ثبت و نگهداری مجموعهی رمز عبورها در بانک های اطلاعاتی امنی چون KeePassX نیز از دیگر گزینههای پیش روی شماست.
چگونگی به خاطر سپردن رمز عبورهای مطمئن
برای ساختن رمز عبورهای مطمئن، استفاده از انواع حرفها بسیار اهمیت دارد. این کار را میتوان به شیوههای مختلفی انجام داد:
- استفاده از حروف بزرگ و کوچک در کنار هم و به صورت غیر مرتب، مانند: My naME is Not MR. MarSter
- استفادهی غیر ترتیبی از اعداد و حروف، مانند: a11 w0Rk 4nD N0 p14Y که همان all work and no play هست
- استفاده از برخی نمادهای خاص و ترکیب آنها با حروف و اعداد، مانند: c@t(heR1nthery3 که همان catch her in thirtythree هست
- استفاده از زبانهای مختلف، مانند: Esme Man rez@ hast
- استفاده از صفحهکلید انگلیسی و نوشتن فارسی: وقتی میخواهید بنویسید «البرز» روی صفحهکلید میزنید «hgfvc»
شیوههای بالا به شما کمک میکند تا رمز عبورهای ساده را به پیچیده تبدیل کنید و در عین حال امکان به خاطر سپردن آنها را نیز داشته باشید. برخی از حرفهای جایگزین متداول (مانند استفاده از عدد صفر به جای حرف انگلیسی «O»، یا استفاده از نماد @ به جای حرف «a» یا ! به جای «i» یا $ به جای «s» یا عدد 1 به جای «l») مدتهاست که در پیشفرضهای برنامههای رمزیاب گنجانده شده ولی به کاربردن آنها هنوز هم میتواند مشکلگشا باشد. حداقل مزیت استفاده از آنها این است که مدت زمان رمزگشایی را طولانیتر میکند و در مواقعی که فرد غیر مجاز به برنامههای رمزیاب دسترسی ندارد، حدس زدن و کشف اتفاقی رمز عبور شما را دشوارتر هم میکند. با اهداف نمایشی، جدول زیر نشان می دهد چه مدت برای یک هکر طول می کشد تا فهرستی از رمزعبورهایی که مرحله به مرحله دشوار تر می شوند را با آزمودن ترکیبات مختلف رمزعبور، یکی پس از دیگری رمزگشایی کند.
برای ایجاد رمز عبورهای خوب همچنین میتوان از علایم اختصاری استفاده کرد. بدین ترتیب، جملههای طولانی به عباراتهایی کوتاه و در عین حال پیچیده بدل میشود. مانند:
- 'To be or not to be? That is the question' که میشود '2Bon2B?TitQ'
- 'We hold these truths to be self-evident: that all men are created equal' که میشود 'WhtT2bs-e:taMac'
- 'Are you happy today' که میشود 'rU:-)2d@y'
استفاده از مثالهای بالا و ترکیب کردن ایده و افکار خود، شما را قادر خواهد ساخت تا کلمهها و عباراتی خلق کنید که در عین پیچیدگی، قابل حفظ کردن نیز باشند.
کمی تلاش در زمینه ساختن رمز عبورهای پیچیده می تواند تاثیر قابل ملاحظه ای در تقویت امنیت اطلاعات شما داشته باشد. افزایش طول یک رمز عبور حتی به اندازه چند کاراکتر یا با افزودن اعداد و کاراکترهای خاص، رمزگشایی آن را مشکل تر می کند. برای اهداف نمایشی، جدول زیر نشان می دهد که چه مدت طول می کشد تا یک هکر تا بتواند فهرستی از رمزعبورهایی را که مرحله به مرحله پیچده تر می شوند، با آزمودن ترکیبات مختلف یکی پس از دیگری رمزگشایی کند.
نمونه رمز عبور | مدت زمان مورد نیاز برای رمزگشایی با استفاده از رایانه معمولی | مدت زمان مورد نیاز برای رمزگشایی با استفاده از رایانه بسیار سریع |
---|---|---|
bananas | کمتر از ۱ روز | کمتر از ۱ روز |
bananalemonade | ۲ روز | کمتر از ۱ روز |
BananaLemonade | ۳ ماه و ۱۴ روز | کمتر از ۱ روز |
B4n4n4L3m0n4d3 | ۳ قرن و ۴ دهه | ۱ ماه و ۲۶ روز |
We Have No Bananas | ۱۹۱۵۱۴۶۶ قرن | ۳۹۹۰ قرن |
W3 H4v3 N0 B4n4n45 | ۲۰۲۱۰۲۱۳۷۲۲۷۴۲ قرن | ۴۲۱۰۴۶۱۱۱۹۲ قرن |
مدت زمانی که برای رمزگشایی هریک از رمزعبورهای فوق طول می کشد بسته به ماهیت حمله و منبع دردسترس فرد مهاجم متغیر خواهد بود. علاوه بر این روش های جدیدی رمزگشایی رمزهای عبور بصورت مدام خلق می شوند. به همین ترتیب، جدول فوق نشان می دهد که رمزگشایی رمزهای عبور را میتوان بصورت ساده و با تغییر دادن کاراکترها و استفاده از دو کلمه یا حتی بهتر از آن، استفاده از یک عبارت کوتاه بسیار دشوار کرد.
جدول فوق بر مبنای روش های محاسباتی Passfault تدوین شده است. Passfault یکی از چندین تارنمایی است که به شما امکان می دهد تا میزان قوی بودن رمزهای عبور خود را بسنجید. با وجود این، اگرچه وجود چنین منابعی برای مشخص کردن کارایی نسبی انواع مختلف رمزهای عبور، مفید می باشد، اما بایستی از معرفی کردن رمزهای عبور اصلی خود به این گونه تارنماها خودداری کنید.
چگونه رمز عبورهای خود را در مکانی امن نگهداریم
اگر چه با ابراز کمی خلاقیت میتوان تمامی رمز عبورهای را به خاطر سپرد، اما ضرورت تغییر دادن دورهای آنها، یادآوری رمز عبورهای متعدد را دشوار میکند. راه چاره آن است که رمز عبورهای خوب و مطمئنی برای تمامی شناسههای خود بسازید و از فکر به خاطر سپردن آنها منصرف شوید! در عوض، تمامی آنها را در یک بانک اطلاعاتی امن رمزهای عبور قابل حمل و رمزگذاری شده مانند KeePassX ثبت و نگهداری کنید.
کتابچه: کار با [KeePassX- ذخیره گاه امن رمزعبور](../keepassx/windows) را فرا بگیرید
بدیهی است که اگر خواهان استفاده از این شیوه برای حفظ رمز عبورهای خود هستید، باید رمز عبور قوی و بسیار مطمئنی برای KeePassX یا هر برنامهی مشابه دیگر آن، انتخاب کنید و آن را به خاطر بسپارید. بدین ترتیب هرگاه که نیاز به دانستن رمز عبور شناسهی معینی از بین شناسههای متعدد خود باشید، تنها کافی است با یادآوری «رمز عبور ارشد (Master Password)» به بانک اطلاعاتی رمزهای خود وارد شوید و رمز عبور مورد نظرتان را بیابید.
اگر چه این شیوه، گزینهی مناسبی برای کسانی است که دارای شناسههای گوناگون هستند، اما ایرادهایی نیز بر آن وارد است. نخست، اگر تنها نسخهی (کپی) بانک اطلاعاتی رمزها را گم کنید یا اشتباهی پاک کنید، به هیچ یک از شناسههایی که رمز عبور آن در بانک اطلاعاتی ذخیره شده بود، دسترسی نخواهید داشت. بنابراین تهیه و نگهداری نسخهی پشتیبان بانک اطلاعاتی KeePassX (یا هر نرمافزار مشابه دیگر) ضرورتی حیاتی دارد. برای کسب اطلاعات لازم در مورد شیوههای مختلف پشتیبانگیری به فصل پنجم: چگونگی بازیابی اطلاعات از دست رفته سری بزنید. خوشبختانه، از آنجایی که فایل حاوی بانک اطلاعاتی رمز عبورهای به صورت مخفی بر روی وسایل ذخیره اطلاعات نگهداری میشود، بنابراین مثلاً اگر حافظه USB را که نسخهای از بانک اطلاعاتی رمزها بر روی آن قرار دارد، گم کنید، خطر چندانی اطلاعات و شناسههای شما را تهدید نخواهد کرد.
ایراد دومی که اتفاقاً از اهمیت بالایی نیز برخوردار است و بر این شیوهی نگهداری اطلاعات مربوط به رمز عبورهای وارد است، آن است که اگر رمز عبور KeePassX را فراموش کنید، هیچ راهی برای بازیابی اطلاعات موجود در بانک اطلاعاتی آن وجود ندارد. بنابراین تأکید میکنیم که حتماً حتماً رمز عبور ارشد KeePassX را طوری انتخاب کنید در عین قوی و مطمئن بودن، قابل یادآوری نیز باشد.
در موقعیت های معینی ممکن است قدرت این متد به نقطه ضعف آن بدل شود. اگر کسی شما را مجبور کند تا رمزعبور ارشد بانک اطلاعاتی KeePassX افشا کنید، آنگاه او به تمامی رمزعبورهای ذخیره شده در بانک اطلاعاتی KeePassX دسترسی خواهد داشت. اگر با چینین موقعیتی مواجه شدید، با بانک اطلاعاتی KeePassX مانند یک فایل حساس رفتار کنید، و آن را مطابق با آنچه که در فصل ۴: چگونگی مراقبت از فایل های محرمانه شرح داده ایم مراقبت کنید. همچنین می توانید یک بانک اطلاعاتی KeePassX دیگر که حاوی رمزهای عبور اطلاعات حساس تر است ایجاد کرده و احتیاط بیشتری در زمینه مراقبت از آن به خرج دهید.
منابعی برای مطالعهی بیشتر
- برای کسب اطلاعات بیشتر در مورد رمزهای عبور مطمئن به فصل Password Protection و ضمیمهی How long should my password be? از کتاب Digital Security and Privacy for Human rights Defenders مراجعه کنید.
- در Wikipedia مقالههای جالبی در رابطه با رمزهای عبور, راهکارهایی برای ساختن رمزهای عبور قوی و شکستن رمز وجود دارد.