هک و امنیت

نحوه ساخت پسورد قوی

پسورد قوی و غیرقابل هک

هر هفته، شما درباره یکی دیگه از هک و کلاهبرداری های اینترنتی میشنوید. اغلب، هکرها تونستند به پسورد یک کاربر نفوذ کنند. در این مقاله به شما کمک میکنیم تا معنی و مفهوم یک پسورد قوی رو بفهمید. شما در آینده خواهید تونست پسوردی انتخاب کنید که به یاد سپاری اون برای شما آسون باشه ولی برای دیگران (یا ماشین ها) سخت

طول طول طول

اگه شما حال و حوصله خوندن کل مقاله رو ندارید، ازتون میخوام به این دو مورد خیلی توجه کنید :

  1. کلمات عبور / عبارت های عبور طولانی، عالی هستند.
  2. از استفاده از کلمات عبور / عبارت های عبور شناخته شده، دوری کنید.

من بعدا به جزئیات برمیگردم، اما قبل از اون، یکی از مشهورترین حمله هایی که به کاربران میشه، brute force attacks نام داره؛ در این نوع حمله، مهاجمان لیستی از پر استفاده ترین پسوردها و شناخته شده ترین اون ها رو جمع آوری و امتحان میکنند. هرچه پسورد طولانی تری داشته باشید، وقت بیشتری برای کرک شدن میگیرید!

بیایید یه مثال بزنیم، با استفاده از ابزار ZXCVBN password strength estimator، ما میزان زمان صرف‌شده برای شکستن پسوردهای مختلف رو بر اساس طول اون ها، اندازه گرفتیم.

 

  • ۸shvX : شانزده دقیقه
  • ۸shvXR : پنج ساعت (۱۸ برابر قبلی)
  • ۸shvXRN : سه روز (۱۴ برابر قبلی)
  • ۸shvXRN8 : چهار ماه (۴۰ برابر قبلی)
  • ۸shvXRN8J : بیست و شش سال (۷۸ برابر قبلی)
  • ۸shvXRN8JW : قرن ها

همونطور که میبینید، اضافه کردن حتی یک حرف، باعث میشه، حدس زدن پسورد بسیار سخت تر بشه. هکرها نمیتونند هزینه زیاد شکستن پسورد های طولانی رو توجیه کنند، برای همین به سراغ اهداف بهتر میروند، درسته، پسورد های کوتاه تر!

بخاطر سپاری پسوردهایی مانند پسورد های بالا آسون نیست، بنابراین راه بهتری داریم …

ساخت پسورد قوی و سخت برای حدس زدن ولی فراموش نشدنی

در عمل، ساده ترین راه برای انتخاب پسوردی سخت برای حدس زدن ولی آسون برای بخاطر سپردن، انتخاب پسوردیه که یک حس رو در شما برانگیزه و برای هیچکس دیگه ایی چنین احساسی پیش نیاد. برای مثال، این چطوره ؟

“on February 12 2020, I was walking with my cat Jimmy at 12 am near the lake”

این جمله ای که من نوشتم، به درد کسی نمیخوره، اما یک جمله یا عبارت شخصی میتونه برای بخاطر سپاری بسیار آسون باشه، چرا که یک حس رو به شما منتقل میکنه. حدس زدن جمله ای مانند این برای یک ماشین با استفاده از تمام ترکیبات ممکن، بسیار سخت و طاقت فرسا هست.

برای شکستن پسوردی مانند این با تکنولوژی کامپیوتر امروزی، قرن ها زمان طول میکشه

بهتره از فاصله، کاما، عدد و کاراکتر خاص استفاده کنید

لطفا از نقل قول‌ و عبارات شناخته شده برای پسورد خود استفاده نکنید، چون این عبارات به راحتی میتونن به یک دیتابیس اضافه و توسط ماشین ها استفاده بشن. برای مثال، اگه پسورد شما may the force be with you باشه، به‌نظر ایده خوبیه، اما این عبارت بسیار معروفه و اگر در دیتابیسی وجود داشته باشه، میانبری برای شکستن پسورد شما خواهد بود.

مدیریت ده ها پسورد با ابزار مناسب سخت نیست

همچنین مهمه که بدونید، بخاطر سپردن ده ها پسورد هم به اندازه صدها پسورد سخته، قدم بعدی شما استفاده از یک پسورد بسیار قوی برای نرم افزار مدیریت پسوردی مانند LastPass یا ۱Password است.

شما میتونید با استفاده از سیستم احراز هویت ۲ مرحله ای، امنیت بیشتری به نرم افزار بدید و یا طوری سیستم رو تنظیم کنید که پس از مرگتان (خدای نکرده !)، شخص دومی، بتونه به پسورد های شما دسترسی داشته باشه.

با استفاده از مدیریت پسورد، شما میتونید پسورد های تصادفی مانند ۰JGPs^Y276yNV5[Ni@ انتخاب کنید، که قابل حدس زدن نیستند، اما بخاطر سپردن اون ها هم آسون نیست.

از وقتی از مدیریت پسورد استفاده کنید، نیازی به بخاطر سپردن پسورد ها نخواهید داشت، اگه هم تنظیمات از بین رفت، با یک پروسه مبتنی بر ایمیل میتونید تنظیمات رو ریست کنید.

مدیریت پسورد ها یک جزء حیاتی از امنیت آنلاین هستند. اون ها فقط پسورد های تصادفی و قوی ارائه نمیدند، این نرم افزار ها طراحی ساده ای برای استفاده و انتخاب یک پسورد اصلی قوی و همینطور احراز هویت ۲ مرحله ای، هم ارائه میدن.

اون ها زندگی شما رو بهتر و امن تر میکنند. استفاده دوباره از یک پسورد برای همه اکانت هاتون، فکر خوبی ینظر میرسه و قابل بخاطر سپردنه اما اگه یکی از اکانت هاتون هک بشه، بقیه اکانت هاتون هم به خطر میافته.

پسورد ضعیف چیست ؟

یک پسورد ضعیف پسوردیه که توسط دیگران، چه یک فرد باشه، چه یک کامپیوتر، چه یک شبکه از کامپیوتر ها، به راحتی قابل حدس زدن باشه.

مسیر های حمله مشترکی از حدس زدن brute-force تا مهندسی اجتماعی وجود داره، چند تا از اون ها رو در زیر میبینید :

 

  • حمله Brute-force : امتحان کردن همه ترکیبات ممکن با کاراکتر و اعداد مختلف به فرم کلمه و کرکینگ
  • حمله Dictionary-based : استفاده از پسورد های رایج مثل password123 یا ۱۲۳۴۵۶. هرساله لیستی از بدترین پسورد های دنیا منتشر میشه و شاید تعجب کنید که هزاران هزار از این پسورد ها وجود داره.
  • حمله فیشینگ : فیشینگ به معنی فریب کاربر برای فاش‌ کردن اطلاعات مهم خود هست. این فریب ها اغلب در صفحات ایمیل یا صفحات سرویس های مشهور قرار داره که در هنگام لاگین کردن، اطلاعات خودتون رو وارد میکنید. در این صفحات، کاربر با کمال میل پسورد خودش رو به شخص اشتباه میسپره. برای اجتناب از این نوع فریب، بر روی لینک های مشکوکی که از شما اطلاعات حسابتون رو میخوان کلیک نکنید. برای لاگین کردن ایمیل خود به سایت اون رفته یا با گوگل کردن اون، به لینک گوگل برید.
  • مهندسی اجتماعی : این یک مورد نادر در قضیه هک هست که در اون با دوستی کردن و ایجاد رابطه نزدیک، برای نشون دادن چیزی یا دسترسی به کامپیوتر یا شبکه ای هست. البته این بیشتر در جاسوسی صنعتی بکار میره.

شیوه های امنیتی ضعیف شرکت ها رو فراموش نکنید !

شیوه های امنیتی ضعیف شرکت ها برای اکانت های در اختیار خود، در بعضی مواقع، موجب هک شدن میلیون ها ایمیل و اکانت شده. هرگز تردید نداشتم، شرکت های بزرگ بعضی مواقع کار های احمقانه ای مثل ذخیره سازی ایمیل ها بدون رمزگذاری و یا استفاده از یک کلید رمزگذاری برای همه اکانت ها هم انجام میده.

وقتی این اتفاق بیوفته، شما کاری برای جلوگیری از هک نشدن اکانت و پسورد خودتون ندارید. شما باید برنامه ریزی کنید که در صورت بروز مشکل داخلی، چگونه پسورد خودتون رو حفظ کنید. شما فقط باید اخبار رو زیر نظر داشته باشید تا وسعت مشکلات امنیتی رو درک کنید.

این اهمیت استفاده از پسورد های مختلف، برای سرویس های مختلف، رو نشون میده، بنابراین از استفاده از یک پسورد برای هر اکانت خود اجتناب کنید.

امنیت بر پایه ایمیل یک نقطه ضعف است

هک کردن یک اکانت ایمیل راهی بسیار عالی برای دستیابی به اطلاعات شماست، بنابراین از امنیت پسورد انتخابی و احراز هویت ۲ مرحله ای ایمیل خودتون اطمینان حاصل کنید. من پیشنهاد میکنم از سرویس دهنده ایمیلی استفاده کنید که این درجه از امنیت رو ارائه میده.

اگه مهاجمی به اکانت ایمیل شما وارد بشه، به این معناست که میتونه تمام پسوردهاتون از قبیل فیسبوک و توییتر رو ریست کنه. همه این ها فقط به یک ایمیل حاوی لینک ریست نیازمنده !

همه اطلاعاتی که دروازه امنیت نامیده میشوند، میتونند توسط کسی که باانگیزه است، یا از طریق تماس تلفنی مهندسی اجتماعی از طرف کسی که تظاهر به قانونی بودن میکنه، پیدا بشن.

 

امیدواریم از این مقاله آموزشی نهایت استفاده را برده باشید. در صورتی که در مورد روند کار با ابهام مواجه شدید و یا سؤالی داشتید، حتماً آن را از طریق بخش نظرات با ما مطرح کنید.

برای امتیاز به این نوشته کلیک کنید!
[کل: 0 میانگین: 0]

هاست وردپرس هاست وردپرس

سعید زارعین

سعید هستم 27 ساله، یک عدد تولید محتوا(ئر) خلاق :)))

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا