کلمه عبور Password
کلمه عبور یا Password چیست؟
کلمه عبور یا پسورد (Password) یک یا چند واژه، عبارت یا رشتهای از کاراکترهاست که به عنوان ابزاری برای تصدیق هویت یک کاربر مورد استفاده قرار میگیرد. با وارد کردن کلمه عبور صحیح که معمولا در کنار یک نام کاربری ثبت شده معنا پیدا میکند به کاربر اجازه دسترسی به منبعی معین اعطا میشود. از گذرواژه نیز به عنوان معادلی برای این اصطلاح استفاده میشود.
امروزه از کلمههای عبور برای ورود به سیستم عامل رایانهها، دستگاههای همراه، خودپردازها، دسترسی به خدمات بسیاری از سامانههای آنلاین و … استفاده میشود. با اینحال به کارگیری گذرواژهها تنها به دنیای مدرن کنونی اختصاص ندارد. حتی در زمانهای نسبتا دور نگهبانها از افراد ناشناس برای ورود به مکانهای حفاظت شده به صورت شفاهی کلمه عبوری را درخواست میکردند.
معمولا هنگام وارد کردن کلمات عبور در رایانههای امروزی، به جای حروف وارد شده علامتی مشابه ستاره یا دایره در فیلد مربوطه نمایش داده میشود. به این ترتیب امکان خواندن پسورد توسط افرادی که در کنار کاربر قرار دارند از بین میرود.
هک و شکستن پسورد
با توجه به فراگیری کلمههای عبور، شکستن کلمه عبور محبوبیت بالایی برای نفوذ به سیستم ها دارد. یکی از رایجترین راهکارهای هکرها برای انجام این کار، تلاش برای یافتن کلمه عبور با تست کردن احتمالات مختلف است. این شیوه، حمله جستجوی فراگیر یا بروت فورس (Brute-Force attack) نام دارد.
با توجه به زمان بالایی که در این روش برای بررسی ترکیبات مختلف حروف، نمادها و اعداد مورد نیاز است معمولا هکرها ترجیح میدهند تنها واژههای رایج یا حداقل واژههای موجود در فرهنگ لغات یک زبان را برای ورود به سیستم مورد بررسی قرار دهند. به این روش، حمله لغتنامهای (Dictionary Attack) گفته میشود و با توجه به اینکه کاربران بسیاری از واژههای ساده موجود در یک زبان به عنوان کلمه عبور استفاده میکنند روش لغتنامهای میتواند در موارد بسیاری برای نفوذ به سیستم نتیجهای موفقیت آمیز داشته باشد. جالب است بدانید مطابق آمارها عباراتی نظیر 123456 و password از رایجترین کلمههای عبور در دنیا به شمار میروند.
نکاتی برای انتخاب کلمه عبور قوی و مناسب
هرچند استفاده از واژههای رایج یک زبان به عنوان پسورد میتواند باعث تسهیل به خاطرسپاری آن شود اما به همان اندازه حدس زدن آن برای اشخاص غیرمجاز را نیز سادهتر میکند. در واقع یک کلمه عبور یا بهتر بگوییم یک “عبارت عبور” (یا Passphrase) که واژهای معنادار و واقعی نباشد میتواند از نظر امنیتی یک نکتهی مهم تلقی شود.
بسیاری از سامانهها و سازمانها برای افزایش امنیت، کاربران خود را ملزم به رعایت قوانینی خاص حین انتخاب کلمه عبور میکنند. در ادامه با نکاتی آشنا میشوید که میتواند به انتخاب یک کلمه عبور مناسب مفید کمک کند:
از کلمه عبور طولانی استفاده کنید
هرچه طول (یا تعداد کاراکترهای) پسورد بیشتر باشد حدس زدن آن دشوارتر خواهد بود. برای مثال کلمه عبوری نظیر HelloAmir,7689ImOK در مقایسه با HelloAmir پیچیدهتر است و بالتبع شکستن آن دشوارتر و نیازمند زمان بیشتری خواهد بود.
از کلمه عبور پیچیده استفاده کنید
از تک واژههای رایج و پرکاربرد یک زبان به عنوان کلمه عبور استفاده نکنید. چنین واژههایی در هر واژهنامهای وجود دارد و حدس آنها به مراتب سادهتر از عبارات چند کلمهای است. ترکیبی از چند کلمه غیرمرتبط و درج علائم یا اعداد میان آنها میتواند انتخابی مناسب برای یک پسورد باشد.
ترکیبی از حروف بزرگ و کوچک، علائم و اعداد هنگام انتخاب پسورد میتواند منجر به افزایش پیچیدگی آن شده و در نتیجه احتمال حدس زدن آن توسط روشهای سیستماتیک را دشوارتر مینماید. توجه داشته باشید کلمههای عبور نسبت به بزرگی و کوچکی حروف حساس (Case Sensitive) هستند. بنابراین عبارتهای HelloAmir,76 و Helloamir,76 به عنوان دو پسورد متفاوت محسوب میشوند.
پیشنهاد میشود برای اینکه یک پسورد پیچیده و در عین حال به یادماندنی انتخاب کنید ابتدا یک عبارت یا جمله را در ذهن خود در نظر بگیرید و سپس حروف ابتدای کلمات آن را به عنوان کلمه عبور خود برگزینید. برای مثال حروف wsalop که از ابتدای واژهها در عبارت we share a love of programming گرفته شده در کنار اعداد و علائم دیگر میتواند گزینه مناسبی برای رمز عبور باشد. به این ترتیب جملهای با معنا را به خاطر میسپارید درحالیکه حروف ابتدای کلمات آن که کلمه عبورتان را شکل میدهند معنای خاصی ندارد.
در نظر گرفتن یک یا چند کلمه فارسی و جایگزین نمودن حروف آن با حروف معادل انگلیسی که روی صفحه کلید قرار دارند نیز میتواند کلمه عبوری پیچیده را نتیجه دهد. به عنوان مثال کلمه فارسی “امیر” را در نظر بگیرید. حرف “ا” روی صفحه کلید معادل حرف “h” میباشد. به همین ترتیب حروف “م”، “ی” و “ر” به ترتیب معادل با حروف “l” و “d” و “v” هستند. بنابراین کافی است کلمه عبور خود را به جای امیر چیزی شامل حروف “hldv” با ترکیب نمادها، اعداد و … انتخاب کنید.
از اطلاعات شخصی خود در پسورد استفاده نکنید
اکیدا توصیه میشود از المانهایی نظیر نام شخصی، تاریخ یا سال تولد، شماره تلفن، کد شناسایی و … به عنوان کلمه عبور خود استفاده نکنید. استفاده از این اطلاعات به عنوان پسورد باعث میشود افرادی که به نحوی شما را میشناسند یا به اطلاعات شخصی شما دسترسی دارند بتوانند کلمه عبور شما را به آسانی حدس بزنند. از طرف دیگر در چنین شرایطی اگر کلمه عبور شما لو برود اطلاعات شخصیتان نیز افشا شده است.
تغییر مداوم رمز عبور
بهتر است به صورت دورهای رمزهای عبور خود را تغییر دهید. ممکن است کلمه عبور شما فاش شده باشد اما برای مدتها از آن سوء استفادهای نشود. با تغییر کلمه عبور (به صورت هرچند ماه یک بار) دسترسی به حساب کاربریتان را دشوارتر میکنید.
مراقبت از پسورد
هرگز کلمه عبور خود را روی یک کاغذ یا سند حفاظت نشده یادداشت نکنید. دسترسی به این کاغذ یا گم کردن آن میتواند شما را به دردسر بیندازد؛ به خصوص اگر همراه اطلاعات دیگری مانند نام کاربریتان باشد.
هنگام ورود کلمه عبور، مراقب نگاههای افرادی که در اطراف شما قرار دارند باشید. معمولا این هشدار زمانی جدیتر خواهد بود که کلمه عبورتان ساده باشد و یا تایپ شما چندان سریع نباشد. مراقب دوربینهای نظارتی هم باشید. تا حد ممکن رمز عبورتان را در مکانهای مجهز به دوربین نظارتی وارد نکنید.
استفاده از کلمه های عبور مختلف
برای حسابهای کاربری مختلف خود از کلمه عبوری یکسان استفاده نکنید. چرا که در این صورت فاش شدن پسورد شما در یک سامانه میتواند تهدیدی جدی برای حسابهای دیگرتان ایجاد کند.
ایمنی سیستمهای رایانهای در حوزه کلمه عبور
هرچند رعایت نکات فوق از طرف کاربر در انتخاب پسوردهایی ایمن از اهمیت بسیار بالایی برخوردار میباشد اما نمیتوان نقش سیستمهای رایانهای را در حفظ امنیت کاربران نادیده گرفت. به عنوان مثال ایجاد محدودیت در تعداد تلاشهای مجاز برای ورود به سیستم میتواند مانع از نفوذ یک هکر به واسطه روشهای سعی و خطا شود و فرایند شکستن پسوردها را دشوارتر نماید. نگهداری کلمات عبور کاربران سیستم به صورت متون ساده و رمزنگاری نشده نیز میتواند در صورت دسترسی هکرها به منبع نگهداری کلمات عبور باعث بروز فاجعهای غیرقابل جبران شود.
ارسال کلمه عبور انتخاب شده از طریق ایمیل موضوع دیگری است که میتواند امنیت سیستم را به خطر بیندازد. اجبار کاربران به انتخاب رمزهای عبور پیچیده، اجبار به تغییر دورهای پسورد و ایجاد لیست سیاهی از کلمات رایج از جمله سیاستهای مهم یک سامانه ایمن به شمار میروند. بسیاری از سامانهها نیز در صورتی که کاربر پس از ورود به سیستم برای مدت زمانی نسبتا طولانی از آن استفاده نکند به اجبار از او تقاضا میکنند رمز عبور خود را مجددا وارد نماید. به این ترتیب امکان دسترسی افراد غیر مجاز به سیستم تا حد ممکن پایین خواهد آمد.
استفاده از روشهای جایگزین صفحه کلید (نظیر پسوردهای صوتی) و روش های تصدیق هویت دو عاملی و چند عاملی و انتقال کلمات عبور از طریق ارتباطات ایمن نیز میتواند باعث بالاتر رفتن امنیت فرایند ورود به یک سیستم شود.
در کنار نکات و سیاستهای امنیتی بیان شده، رمزهای یکبار مصرف، رمزهای عبور غیرمتنی (نظیر رمزهای گرافیکی)، روشهای تصدیق هویت بیومتریک (نظیر اثر انگشت و الگوی عنبیه) و … میتواند جایگزینهای مناسب و ایمنی برای کلمههای عبور رایج به شمار روند.
به یادسپاری پسورد و برنامه های مدیریت پسورد
هرچند توصیه کارشناسان امنیتی استفاده از کلمات عبور پیچیده است اما طبیعتا پیچیدهتر شدن پسوردها باعث میشود به خاطر سپردن آنها برای کاربران نیز به امری دشوارتر تبدیل شود. این موضوع زمانی به مسألهای بغرنج تبدیل میشود که قرار باشد هر کاربر از کلمات عبور متفاوتی برای ورود به سامانههای مختلف استفاده نماید.
در چنین حالتی برای آنکه کاربران را از دشواریهای به خاطر سپردن مجموعهای از کلمات عبور پیچیده رهایی بخشیم استفاده از ابزارهای مدیریت کلمه عبور (Password Manager) توصیه میشود. این نرمافزارها قادر به نگهداری ایمن و رمزنگاری شده تمامی پسوردهای کاربر هستند و تنها چیزی که لازم است کاربر به خاطر بسپارد یک رمز عبور اصلی برای استفاده از نرم افزار مدیریت کلمه عبور است.
رمز یکبار مصرف
پسوردهای معمولی که به نوع ایستا (Static Password) موسوم هستند اغلب توسط کاربر یا به صورت تصادفی انتخاب میشوند. چنین پسوردهایی معمولا در بهترین حالت پس از گذشت چند ماه تغییر داده میشوند.
در مقابل این کلمه های عبور، رمزهای یکبار مصرف (One-Time Password به اختصار OTP) یا پویا (Dynamic Password) قرار میگیرند. این نوع رمزها تنها برای یک نشست لاگین یا یک تراکنش معتبر هستند. رمزهای یکبار مصرف اغلب به صورت تصادفی تولید میشوند و از طریق روشهای مختلفی نظیر اپلیکیشن های مخصوص، توکن های امنیتی، پیامک، ایمیل و … در اختیار کاربر قرار میگیرند. OTP ها بلافاصله پس از استفاده شدن یا گذشتن مدت زمانی کوتاه اعتبار خود را از دست میدهند و به همین دلیل معمولا از امنیت بالاتری برخوردار هستند.
پیوندهای پیشنهادی تک دیک