علیرغم هشدارهای مکرر کارشناسان حوزه امنیت آنلاین مبنی بر عدم استفاده از کلمه‌عبورهای آسان و قابل‌حدس به‌نظر می‌رسد که کماکان بسیاری از کاربران قادر به انتخاب یک رشته کاراکتری پیچیده‌تر برای حفاظت از حساب‌های کاربری خود نیستند. یک مطالعه جدیدا انجام شده توسط مرکز ملی امنیت سایبری بریتانیا (NCSC)، دیتابیس عمومی حساب‌های کاربری هک شده را مورد بازبینی قرار داد و تائید کرد که بسیاری از مردم کماکان از پسوردهای آسان استفاده نموده و 23.2 میلیون حساب کاربری در سراسر جهان همچنان از رشته “123456” به‌عنوان کلمه‌عبور بهره می‌گیرند. در واقع این رشته رایج‌ترین نمونه موجود در فهرست به‌شمار می‌رود.

احتمالا چندان تعجب‌آور نیست که رشته “123456789” در رتبه دوم جای می‌گیرد؛ در حالی‌که رشته‌هایی نظیر “password”، “1111111” و “qwerty” نیز از جمله پسوردهای پرمخاطب محسوب می‌شوند.

موسسه NCSC با یک متخصص استرالیایی امنیت آنلاین با نام تروی هانت همکاری کرد. وی به‌ دلیل راه‌اندازی وب‌سایت خود با نام Have I Been Pwned شخصیتی شناخته شده است. این وب‌سایت در زمینه انواع پسوردهای به‌کارگیری شده جهت حفاظت از حساب‌های کاربری افراد، اطلاعاتی را در اختیار کاربران قرار می‌دهد.

کاربران با جستجو در دیتابیس آقای هانت و مشاهده فهرست اکانت‌های دارای حفره امنیتی شخصا می‌توانند از تعداد دفعات به‌کارگیری پسوردهای آسان مطلع شوند. برای مثال با وارد کردن رشته “zxcvbnm” (حروف قرار گرفته در ردیف پایینی صفحه‌کلید) در دیتابیس حساب‌های هک شده خواهید دید که این کلمه‌عبور بیش از 575 هزار بار تکرار شده است.

تروی هانت به منظور حفاظت بهتر کاربران از حریم شخصی در فضای آنلاین، توصیه‌هایی را در وب‌سایت خود ارایه نموده است. در حالی‌که عدم استفاده از رشته “123456” به‌عنوان کلمه‌عبور یقینا نقطه شروع مناسبی قلمداد می‌شود؛ اما آقای هانت پیشنهاد می‌کند که کاربران از یک اپلیکیشن مدیریت پسورد نظیر 1Password استفاده کنند.

همچنین هانت پیشنهاد می‌کند که در صورت پشتیبانی سایت‌ها و اپلیکیشن‌ها، کاربران از مشخصه احرازهویت 2 مرحله‌ای استفاده نموده و با وجود یک لایه حفاظتی بیش‌تر از خود در برابر هکرها محافظت کنند. نهایتا کاربران با عضویت در سرویس “notify me” می‌توانند از قرارگیری آدرس ایمیل خود در فهرست داده‌های هک شده به‌صورت خودکار مطلع شوند و نسبت به تغییر کلمه‌عبور خود اقدام نمایند.

تروی هانت به موسسه NCSC گفت: “انتخاب کلمه‌عبور مناسب تنها گزینه و بزرگ‌ترین روش پیش روی کاربران برای کنترل وضعیت امنیتی حریم شخصی محسوب می‌شود. به‌طور معمول عملکرد ما در این حوزه از جنبه شخصی یا هنگام ثبت نام در سازمان‌های مختلف چندان مناسب نبوده است.”

وی افزود: ” شناسایی پسوردهایی که با احتمال فراوان در حساب‌های کاربری موفق به‌کارگیری می‌شوند؛ نخستین گام مهم برای کمک به حضور هرچه ایمن‌تر افراد در فضای آنلاین محسوب می‌شود.”

نوشته براساس تحقیقات اخیر، میلیون‌ها کاربر از کلمه‌عبور 123456 استفاده می‌کنند! اولین بار در وب‌سایت فناوری پدیدار شد.

این روزها اخبار زیادی در خصوص فاش شدن اطلاعات کاربری و کلمه عبور بسیاری از کاربران وب‌سایت‌های مختلف به گوش می‌رسد. در این شرایط هکرها می‌توانند پایگاه‌ داده‌های کاربری و رمزهای عبور را دانلود کرده و از آن‌ها برای هک حساب‌های کاربران استفاده کنند. به همین دلیل است که توصیه می‌شود از یک کلمه عبور ثابت برای وب‌سایت‌های مهم استفاده نکنید، زیرا بروز یک اشکال و یا انتشار پسوردها توسط یک سایت می‌تواند برای شما دردسرساز باشد و از این طریق ورود هکرها به سایر حساب‌های شما را راحت‌تر کند.

استفاده از سایت ?Have I Been Pwned

تروی هانت (Troy Hunt)، که یک متخصص امنیت وب در استرالیاست و در قالب یک وب‌سایت با عنوان ?Have I Been Pwned، خدمات مرتبط با نقض اطلاعات را ایجاد کرده است، از طریق پایگاه داده خود که از ترکیب نام کاربری و رمز عبور کاربران تشکیل شده است، اطلاعاتی را در خصوص این‌که آیا پسورد‌های آن‌ها فاش شده یا نه، ارایه می‌دهد. این اطلاعات از طریق سایت‌های مختلف در وب و یا دارک وب (شبکه‌هایی که از اینترنت استفاده می‌کنند اما برای دسترسی به آن‌ها نیاز به نرم‌افزار خاص، تنظیمات یا مجوز است) یافت می‌شود. این پایگاه داده فقط این امکان را برای شما فراهم می‌کند که وضعیت پسوردهای خود را بررسی کنید.

برای استفاده از این ابزار، باید به وب‌سایت Have I Been Pwnd? مراجعه کنید و نام کاربری یا آدرس ایمیل خود را جستجو کنید. نتایج ارایه شده به شما می‌گوید که آیا نام کاربری یا آدرس ایمیل شما در یک پایگاه داده منتشر شده است یا خیر. برای بررسی چندین آدرس ایمیل یا نام کاربری، باید این پروسه را مجددا تکرار کنید. با انجام این کار اگر رمز عبور، آدرس ایمیل و یا نام کاربری‌تان فاش شده باشد به شما نشان داده می‌شود، همچنین اطلاعاتی در مورد رمزهای عبوری که ممکن است به خطر افتاده باشند به شما ارایه خواهد شد.

اگر می‌خواهید در صورت لو رفتن آدرس ایمیل، پسورد و یا نام کاربری خود در یک وب‌سایت، یک ایمیل اطلاع‌رسانی را دریافت کنید باید روی پیوند Notify me when I get pwned، کلیک کنید.

شما همچنین می‌توانید یک رمز عبور را جستجو کنید تا ببیند آیا تا به‌حال در جایی فاش شده است یا خیر. برای انجام این کار کافی است به صفحه Pwned Passwords، در این وب‌سایت مراجعه کنید و کلمه عبور مورد نظر خود را در کادر مربوطه تایپ کنید، سپس روی دکمه pwned؟ کلیک کنید. حال شما خواهید دید که آیا رمز عبور در یکی از این پایگاه‌های داده وجود دارد یا خیر و این‌که چند بار دیده شده است. اگر می‌خواهید سایر رمزهای عبورتان را چک کنید باید مجددا این مراحل را انجام دهید.

نکته: ما به شدت توصیه می‌کنیم که با هوشیاری کامل پسورد خود را به سایت‌هایی که برای این منظور طراحی شده‌اند ارایه دهید چراکه هر سایتی قابل اطمینان نیست. توجه داشته باشید که اگر وب‌سایت مورد نظر صادقانه عمل نکند، می‌تواند برای شما دردسرساز شود. بنابراین ما توصیه می‌کنیم که فقط از وب‌سایت معرفی شده برای این منظور استفاده کنید زیرا این سایت کاملا مورد اعتماد است و توضیح می‌دهد که چگونه از رمز عبور شما محافظت می‌شود.

همچنین اگر از یک رمزعبور مهم استفاده کرده‌اید که هم‌اکنون فاش شده است، توصیه می‌کنیم آن را بلافاصله تغییر دهید. شما باید از یک ابزار مدیریت رمز عبور استفاده کنید تا بتوانید رمزهای قوی و منحصر بفردی را برای وب‌سایت‌های مهم استفاده کنید. احراز هویت دو مرحله‌ای نیز می‌تواند به محافظت از حساب‌های مهم شما کمک کند و در حملات هکری از طریق یک کد امنیتی اضافی از ورود هکرها به حساب شما جلوگیری می‌کند، حتی اگر آن‌ها رمز عبور شما را بدانند.

LastPass

LastPass یک ویژگی مشابه برای امنیت گذرواژه‌ها را در خود جای داده است. برای دسترسی به آن کافی است ابتدا آن را به لیست افزونه‌های مورد استفاده در مرورگر خود اضافه کنید و پس از نصب، روی نماد LastPass در نوار ابزار مرورگر خود کلیک کنید، سپس از بخش More Options، گزینه Security Challenge را انتخاب کنید.

LastPass لیستی از آدرس‌های ایمیل در پایگاه داده شما را پیدا می‌کند و می‌پرسد آیا می‌خواهید مطمئن شوید که تا به حال اطلاعات شما در جایی فاش شده است یا خیر. اگر شما موافق هستید، LastPass آن‌ها را از طریق پایگاه داده مورد بررسی قرار می‌دهد و از طریق ایمیل، داده‌های مربوط به هر نوع نشت اطلاعات را برای شما ارسال می‌کند.

LastPass همچنین لیستی را به شما ارایه می‌دهد که نشان می‌دهد کدام وب‌سایت‌ها پس از تغییر گذرواژه خود بر روی آن‌ها، نقض امنیتی داشته‌اند، به این معنی که رمز عبور شما به‌طور بالقوه ممکن است فاش شود. این ایده خوبی است تا از این طریق پسوردهای هر سایتی که در این لیست ظاهر می‌شوند را تغییر دهید.

۱Password

نسخه مبتنی بر وب مدیریت رمز عبور ۱Password، اکنون می‌تواند بررسی کند که آیا کلمه عبور شما نیز از بین رفته است یا خیر. در حقیقت، ۱Password با استفاده از همان وب‌سایتی که در بالا معرفی شد، این خدمات را از طریق یک سرویس یکپارچه به کاربران خود ارایه می‌دهد. اگر شما از کاربران ۱Password هستید، می‌توانید از این سرویس با وارد شدن به حساب خود در ۱Password.com استفاده کنید. کافی است پس از لاگین شدن روی گزینه Open Vault کلیک کنید و سپس یکی از حساب‌هایتان را انتخاب کنید. حال با استفاده از دکمه‌های Shift + Control + Option + C، روی Mac و یا Shift + Ctrl + Alt + C در ویندوز دکمه Check Password را خواهید دید که به شما می‌گوید آیا گذرواژه شما در وب‌سایت Have I Pwned ظاهر می‌شود یا خیر؟ این یک ویژگی جدید است و در حال حاضر در دسترس کاربران قرار ندارد اما انتظار می‌رود به نسخه‌های آینده ۱Password اضافه شود.

نتیجه‌گیری

مهم‌ترین کاری که می‌توانید انجام دهید این است که از رمزهای عبور تکراری، حداقل برای وب سایت‌های مهم استفاده نکنید. ایمیل شما، بانکداری آنلاین، خرید، رسانه‌های اجتماعی، کسب‌وکار و سایر حساب‌های مهم، باید دارای رمزهای عبور منحصر به فرد خود باشند، بنابراین اگر از پسوردهای متفاوت استفاده کنید، فاش شدن آن‌ها توسط یک وب‌سایت دیگر سایر حساب‌های شما را در معرض خطر قرار نمی‌دهد. نرم‌افزارهای مدیریت رمز عبور به شما این امکان را می‌دهند تا رمزهای عبور منحصر به فردی را انتخاب کنید و از طرف دیگر با استفاده از آن‌ها مجبور نیستید تا چندین رمزعبور را به خاطر بسپارید.

نوشته چگونه بفهمیم که پسوردمان به سرقت رفته است؟ اولین بار در پدیدار شد.