آموزش عمومی

چگونه از کلمات عبور خود محافظت و مهاجمان را از خود دور کنیم؟

رایج‌ترین شیوه برای اثبات موجودیت واقعی به وب‌سایت‌ها، حساب‌های شبکه‌های اجتماعی، ایمیل و حتی خود کامپیوتر استفاده از کلمات عبور یا پسورد است. علاوه بر این، کلمات عبور امکان دسترسی به دستگاه‌های موبایل، برنامه‌های بانکی، ورود به سیستم‌ها و فایل‌های محرمانه را فراهم می‌کنند. در بسیاری از سیستم‌های آنلاین، کلمه عبور تنها راه محافظت از داده‌های شخصی در برابر سرقت توسط مهاجمان است. در ادامه به روش‌هایی که مهاجمان سایبری برای هک کردن کلمات عبور به کار می‌برند و تکنیک‌های حفاظت از کلمه عبور خواهیم پرداخت.

 

چرا هک کردن برای مهاجمان آسان است؟

در بسیاری شرکت‌های بزرگ و قابل‌اعتماد نظیر eBay، LinkedIn و اخیراً Facebook رمز عبور بسیاری از کاربران به خطر افتاده است. طبق گفته‌ی مدیر اجرایی بیمه Hiscox، در سال ۲۰۱۶ هزینه جرائم سایبری در دنیا بیش از ۱۵۰ میلیارد دلار بوده است و بیش از دو میلیارد داده سرقت شده است. چرا دسترسی به‌حساب‌های کاربری و دستیابی به کلمات عبوری امن این حساب‌ها برای هکرها ساده است؟ در اینجا ذکر چند نکته ضروری به نظر می‌رسد.

  • نکته‌ی اول و از همه مهم‌تر این است که ما از کلمات عبوری خود دوباره استفاده می‌کنیم.
    بیش از ۶۰ درصد از افراد، از یک کلمه عبور یکسان برای ورود به سایت‌های مختلف استفاده می‌کنند؛ و یادگیری کلمات عبوری مختلف برای ۳۹ درصد افراد بسیار سخت است، ما درصورتی‌که کلمات عبوری خود را برای سال‌ها و دهه‌ها حفظ کنیم، در برابر هکرها بسیار آسیب‌پذیر هستیم.
  • کلمات عبور افراد فوق‌العاده قابل پیش‌بینی هستند.
    ما تمایل داریم از کلمات عبوری استفاده کنیم که به‌نوعی به زندگی ما مربوط می‌شوند زیرا به یاد سپردن آن‌ها ساده‌تر است. با توجه به ظرفیت حافظه بصری ما، به یاد سپردن تصاویر و اطلاعاتی که برای ما آشنا و معنادار است، ساده‌تر است. به همین دلیل است که ما کلمات عبوری راحت، قابل حدس و مبتنی بر چیزهایی نظیر اعضای خانواده، حیوانات خانگی و یا تولدها را ایجاد می‌کنیم.
  • هر کاربر معمولاً ۲۶ حساب کاربری محافظت‌شده با کلمه عبور دارد ولی برای تمامی این حساب‌ها حداکثر از ۵ کلمه عبور متفاوت استفاده می‌کند.
    این عمل ما را بیشتر در معرض هک به‌خصوص حمله جست‌وجوی غیرهوشمند قرار می‌دهد. بیش از ۸۵ درصد از آمریکایی‌ها کلمات عبور خود را در ذهن به خاطر می‌سپارند به همین دلیل حفظ کردن ۲۶ کلمه عبور تقریباً غیرممکن است؛ و به دلیل وجود تعداد زیادی از کلمات عبور، بسیار مهم است که برنامه‌ی مدیریت کلمه عبور نصب شود. بااین‌وجود، اتفاق تکان‌دهنده این است که کمتر از ۱۲ درصد از آمریکایی‌ها به‌صورت واقعی از یک برنامه مدیریت کلمه عبور استفاده می‌کنند.

قانون اساسی استاندارد برای تغییر رمزهای عبور هر ۹۰ روز است. بااین‌حال در سال‌های اخیر این متد طبق نظر فن‌آوری ارشد FTC و پروفسور Lorrie Cranor، استاد علوم کامپیوتر دانشگاه Carnegie Mellon، روش غیر مؤثری شناخته‌شده است. این استاد متوجه شد زمانی که مردم مجبور می‌شوند به‌طور منظم کلمات عبوری خود را تغییر دهند، برای آن تلاش ذهنی کمتری می‌کنند. تمایل کم افراد برای استفاده از کلمه عبور با تنوع کم کاراکترها و تغییر کلمات عبور زمینه را برای سوءاستفاده مهاجمان فراهم می‌کند.

 

 

چه مدت طول می‌کشد مجرمان سایبری کلمه عبور شما را تشخیص دهند؟

اگر کلمات عبوری ساده‌ای همانند “password” و یا “abcdefg” داشته باشید، با توجه به زمان شکستن کلمه عبور BetterBuys، مهاجم تنها ۰.۲۹ میلی‌ثانیه زمان نیاز دارد تا کلمه عبور را بشکند. بحث شگفت‌انگیزتر این است که کلمه عبور ۱۲۳۴۵۶۷۸۹، در طول یک چشمک زدن ۴۳۱ بار شکسته می‌شود. حتی کلمات عبور پیچیده‌تر هم نسبت به گذشته سریع‌تر هک می‌شوند. کلمه عبوری که نزدیک سه سال شکستن آن طول می‌کشید، حال زیر دو ماه طول می‌کشد.

کلمه عبور ایدئال، کلمه عبوری است که ۱۴ کاراکتر و یا بیشتر دارد. ۸ کاراکتر حداقل مقداری است که یک کلمه عبور می‌تواند داشته باشد.

هکرها ابتدا به سراغ کلمات عبور ساده‌تر و معمول‌تر می‌روند، سپس به کلمات عبور با کمترین تعداد کاراکتر می‌روند. زمانی که کلمه عبور با سه حرف ۰.۲۹ میلی‌ثانیه بشکند، شکستن کلمه عبور با ۱۲ حرف می‌تواند تا دو قرن طول بکشد. هرچه قدر کلمه عبور طولانی‌تر باشد، هکرها برای یافتن ترکیب درست، زمان بیشتری را صرف می‌کنند.

 

 

چگونه مجرمان سایبری کلمات عبور را هک می‌کنند؟

واقعاً چگونه مهاجمان کار کثیف خود را انجام می‌دهند؟ در گام اول باید بدانیم که این عمل حرفه‌ی آن‌هاست. در حقیقت مهاجمان موفق، وقت و انرژی خود را در تمام روز به این کار اختصاص می‌دهند. معمول‌ترین راه‌هایی که هکرها می‌توانند به‌حساب کاربری شما دسترسی پیدا کنند عبارتند از:

  • حملات کی‌لاگر
  • حملات جست‌وجوی غیرهوشمند
  • حملات دیکشنری
  • حملات طعمه‌گذاری (فیشینگ)

 

حملات کی‌لاگر

کی‌لاگر نوعی فنّاوری نظارت است که برای ذخیره و مدیریت هر فشار کلید تایپ‌شده روی دستگاه کیبورد استفاده می‌شود. مجرمان سایبری از کی‌لاگر‌ها به‌عنوان یک ابزار جاسوسی برای دزدیدن اطلاعات شخصی، اطلاعات ورود و اطلاعات سازمانی حساس استفاده می‌کنند.

چگونه از خود در برابر این حملات محافظت کنیم؟

برای مقابله از ارسال اطلاعات به یک شخص ثالث توسط کی‌لاگر، استفاده از فایروال توصیه می‌شود. علاوه بر این می‌توانید یک برنامه مدیریت کلمه عبور نصب کنید که خودش کلمه عبور شمارا پر می‌کند و مانع از دستیابی کی‌لاگر‌ها به اطلاعات حساس شما می‌شود. اطمینان حاصل کنید که نرم‌افزار شما به‌روز باشد زیرا کی‌لاگر‌ها می‌توانند از آسیب‌پذیری‌های این نرم‌افزار‌ها نیز برای ورود به سیستم شما استفاده کنند.

 

حملات جست‌وجوی غیرهوشمند

ما معمولاً از کلمات عبوری ساده و مرتبط استفاده می‌کنیم که باکمی تلاش قابل حدس است. در حین استفاده از روش جست‌وجوی غیرهوشمند، هکرها از نرم‌افزاری استفاده می‌کنند که به‌صورت مکرر ترکیب‌های مختلف از کلمات عبور را امتحان کند. این روش، برای دزدیدن اطلاعات شما بسیار قابل‌اعتماد است زیرا بسیاری از کاربران از کلمات عبوری ساده‌ای نظیر “abcd” استفاده می‌کنند. از نرم‌افزارهایی که کلمه عبور را سرقت می‌کنند می‌توان به Bruts، Wfuzz و RainbowCrack، اشاره کرد.

چگونه از خود در برابر این حملات محافظت کنیم؟

راه‌های مختلفی برای جلوگیری از حمله جست‌وجوی غیرهوشمند وجود دارد. ابتدا، شما می‌توانید یک سیاست قفل حساب پیاده‌سازی کنید. درنتیجه پس از چند بار ورود ناموفق، حساب قفل می‌شود و تا زمانی که مدیر قفل آن را باز کند، قفل می‌ماند. علاوه بر این می‌توانید تأخیرهای پیش‌رونده پیاده‌سازی کنید که بعد از هر ورود ناموفق، زمان قفل بودن را افزایش می‌دهد.

راه‌حل دیگر استفاده از آزمون چالش-پاسخ است تا از ارسال خودکار به صفحه ورودی جلوگیری شود. سؤال سیستم‌هایی همانند reCAPTCHA می‌تواند یک کلمه و یا به‌صورت یک مسئله ریاضی باشد که اطمینان حاصل شود موجودیتی که وارد حساب کاربری می‌شود شخص است و یک سیستم هک نیست.

 

حملات دیکشنری

در سال ۲۰۱۲، بیش از ۶ میلیون کلمه‌ی ‌عبور در LinkedIn با حمله دیکشنری هک شد. حمله دیکشنری با واردکردن سیستمی هر کلمه از دیکشنری، به‌عنوان کلمه عبور صورت می‌گیرد. احتمال موفقیت حملات دیکشنری بالا است زیرا افراد تمایل دارند تا از کلمات عبور کوتاه و معمول استفاده کنند.

چگونه از خود در برابر این حملات محافظت کنیم؟

از کلمات عبوری با حداقل طول ۸ کاراکتر استفاده کنید. از استفاده از هر کلمه‌ای داخل دیکشنری و یا کلمات عبور معمول قابل حدس بپرهیزید. شما باید اجازه اتصال را تنها به اتصالات SSH میزبان‌های خاص یا آدرس‌های IP که می‌شناسید بدهید تا بدانید چه کامپیوترهایی به سرور شما متصل می‌شوند.

 

حملات طعمه‌گذاری (فیشینگ)

در حملات فیشینگ هکرها از ایمیل‌ها و وب‌سایت‌های جعلی برای دزدیدن اطلاعات شما استفاده می‌کنند. بیشتر این حملات در قالب ایمیل‌هایی هستند که خود را جای شرکت‌های قانونی و معتبر جا می‌زنند و از شما می‌خواهند فایلی را دانلود و یا روی لینکی کلیک کنید. به‌طورمعمول، حملات فیشینگ می‌تواند اطلاعات بانکی شمارا بدزدند که می‌تواند بسیار زیاد آسیب‌رسان باشد.

چگونه از خود در برابر این حملات محافظت کنیم؟

از ایمیل‌هایی که از سمت فرستنده‌های ناشناخته می‌آیند و از شما می‌خواهد تا اطلاعات شخصی یا مالی خود را تائید کنید و یا با اطلاعات تهدید شده سریعاً برخورد کنید و ضمیمه‌ای را از سرورهای ناشناس بازکنید، احتیاط کنید. هیچ‌گاه اطلاعات مالی و یا شخصی خود را حتی به کسانی که اعتماد دارید ایمیل نکنید چراکه ممکن است ایمیل شما هک شود.

 

 

انتخاب کلمه عبور قوی در برابر نفوذ

مهاجمان سایبری در تشخیص کلمات عبور بسیار ماهر شده‌اند. ۵۰ درصد از سازمان‌های کوچک تا متوسط، در سال ۲۰۱۷ از حداقل یک مورد حمله سایبری رنج‌برده‌اند. این میزان حمله حتی با حملاتی که به شرکت‌های بزرگی چون T-Mobile، JP Morgan و eBay می‌شود که با حجم زیادی از حملات سایبری مواجه می‌شوند و صدها میلیون مشتری را تحت تأثیر خود قرار می‌دهند، قابل‌مقایسه نیست.

برای نگهداری کلمه عبور از برنامه‌های مدیریت کلمه عبور استفاده کنید.

با توجه به مطالعات وردپرس، حتی مدیران سطح بالا مانند مهندسان ارشد در پی‌پال و یا مدیر برنامه مایکروسافت، کلمات عبوری خطادار و قابل حدس دارند. این مسئله به‌طورجدی روی کسب‌وکار آن‌ها تأثیر منفی می‌گذارد. زمانی که کلمه عبور ایجاد می‌کنید، چند نکته به شما کمک می‌کند تا حساب‌های خود را حفظ و هکرها را دور کنید:

  • کلمه عبور ایدئال، کلمه عبوری است که ۱۴ کاراکتر و یا بیشتر دارد. ۸ کاراکتر حداقل مقداری است که یک کلمه عبور می‌تواند داشته باشد. اطمینان حاصل کنید که از تنوعی از کاراکترها، اعداد و حروف که به‌صورت معنادار رابطه مستقیم یا همبستگی‌ای با علایق شما ندارد، استفاده می‌کنید.
  • از انتخاب الگوهای قابل پیش‌بینی در حروف بزرگ مانند ابتدا یا انتهای رمز عبور خود جلوگیری کنید. علاوه بر این سعی کنید از کل کیبورد خود، نه‌فقط کاراکترهایی که روزمره از آن‌ها استفاده می‌کنید، استفاده کنید؛ زیرا هکرها این را می‌دانند و کاراکترهای معمول و رایج را هدف قرار می‌دهند.

 

 

حفاظت از رمز عبور: رمز عبور خود را امن نگاه‌دارید

برای آنکه کلمه عبور خود را امن حفظ کنید، بسیار مهم است که کلمه عبور باکیفیتی انتخاب کنید و در حین ساخت حساب‌های جدید، اقدامات امنیتی را رعایت کنید. درحالی‌که بسیاری از مطالعات تأکیددارند که رمز عبور خود را هر ۹۰ روز تغییر دهید، جدیدترین دستورالعمل‌ها پیشنهاد می‌کنند که در صورت نیاز کلمات عبور خود را تغییر دهید. تغییر مکرر کلمه عبور بیشتر از کمک، به شما آسیب می‌رساند.

علاوه بر این از تذکرهای (hint) کلمه عبور جدید استفاده کنید زیرا تذکرها راه ساده‌ای برای هکرها برای دریافت ایمیل بازیابی با اطلاعات حساب شماست. سعی کنید از پاسخ‌های غیرمعمول و پاسخ‌های تصادفی استفاده کنید و آن را یادداشت کنید تا بتوانید به خاطر بسپارید. تکنیک دیگر این است که یک جمله یا اختصار ایجاد کنید که فقط برای شما اعمال شود اما به‌اندازه کافی تصادفی باشد تا هکرها را گول بزند.

از برنامه‌های مدیریت کلمه عبور همانند Dashlane، LastPass و یا Sticky Password استفاده کنید. این ابزارها کلمات عبوری پیچیده برای شما تولید می‌کنند و آن‌ها را ذخیره می‌کنند. برنامه مدیریت کلمه عبور در مرورگر شما قرار دارد و هر موقع در سایت قرار داشتید می‌تواند اطلاعات ورود شمارا وارد کند.

درنهایت نرم‌افزار آنتی‌ویروس برای محافظت از کلمات عبور در برابر اینترنت نصب کنید. آنتی‌ویروس خود را روی تمامی دستگاه‌ها نصب کنید تا فعالیت‌های مشکوک را کنترل و از نصب دانلودهای ناشناخته، جلوگیری کنید.

 

منبع: Panda Security

چگونه از کلمات عبور خود محافظت و مهاجمان را از خود دور کنیم؟

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top