تبیان، دستیار زندگی
گوگل روی ۲۰۰۰ نفر از کاربران وب تحقیق کرد تا مشخص کند افراد معمولا از چه رمزهای عبوری استفاده می‌کنند. نتیجه خیلی شگفت‌آور نبود اما گویای این مطلب بود که هک کردن حساب‌های کاربری توسط افرادی که می‌شناسید حقیقتا آسان است.
بازدید :
زمان تقریبی مطالعه :

رمزهای عبور عجیب


گوگل روی 2000 نفر از کاربران وب تحقیق کرد تا مشخص کند افراد معمولا از چه رمزهای عبوری استفاده می‌کنند. نتیجه خیلی شگفت‌آور نبود اما گویای این مطلب بود که هک کردن حساب‌های کاربری توسط افرادی که می‌شناسید حقیقتا آسان است.

رمزهای عبور عجیب

این فهرست چیزهایی است که اغلب افراد رمز‌های عبور حساب‌های کاربری‌شان را بر اساس آن‌ها انتخاب می‌کنند:

** نام حیوانات خانگی

**تاریخ‌های خاص (مثل سالگرد ازدواج)

**تاریخ تولد یکی از نزدیکان

**نام فرزند

**نام سایر افراد خانواده

**محل تولد

** مناسبت‌های مورد علاقه

**چیزی مربوط به نام تیم فوتبال مورد علاقه

**نام همسر

**کلمه "password"

قدم اول در ساخت رمزعبور مناسب: از برنامه‌های پسوردساز استفاده کنید (مثل آن‌‌هایی که در برنامه‌های مدیریت رمزعبور مثل LastPass  و 1Password  وجود دارند). با این کار می‌توانید تا جای ممکن برای حفاظت از حساب‌های آنلاین‌تان مقاومت کنید. این موضوع را به همه کسانی که دوست دارید اطلاع دهید.

این را باور داشته باشید که امنیت جزو لاینفک دنیای مجازی است و بدون آن حتی بهتر است قید اینترنت با همه مزایایش را بزنید. در این صورت است که اطلاعات شما به خطر نمی افتند. برای اینکه بتوانید امنیت خود را به بالاترین حد ممکن برسانید روش های مختلفی وجود دارند. متداول ترین روش احراز هویت، استفاده از کلمات عبور است. اما مطمئن باشید که ذخیره کردن کلمات عبور یکی در مرورگرها یکی از بدترین روش های موجود است و به هیچ وجه توصیه نمی شود. در این مطلب قصد داریم تا بحث جالبی که بین محققان شرکتی امنیتی ESET و مدیر تیم امنیتی مرورگر کروم ایجاد شده است را برای شما بیان کنیم و در ادامه نیز راه حل هایی برای امنیت بیشتر کلمات عبور را با شما در میان بگذاریم.

یکی از انتقاداتی که همواره متوجه گوگل و مرورگرش که این روزهای یکه تاز فضای وب است می شود، روند ذخیره سازی کلمات عبور در داخل مرورگر کروم است. اگر به بخش تنظیمات کروم و قسمت Passwords بروید، می توانید به راحتی هر چه تمام تر کلمات عبور ذخیره شده را با چند کلیک ساده مشاهده کنید. می توانید با وارد کردن chrome://settings/passwords#pass در آدرس بار مرورگر کروم، بخش مربوط به کلمات عبور ذخیره شده را باز کنید.

رمزهای عبور عجیب

مدیر ارشد تحقیقات شرکت امنیتی ESET، آقای “دیوید هارلی”‌ می گوید: این واقعا ایده‌ی بدی برای ذخیره کلمات عبور در مرورگر کروم روی دستگاه هایی است که هر کسی بدون تایید هویت می تواند به آن دسترسی داشته باشد. حساب های کاربری اشتراکی نیز یکی دیگر از همین موارد است. در سازمان های بزرگ هر کسی برای استفاده از کامپیوترش باید وارد حساب کاربری موجود شود و شاید این مشکل زیاد نمود پیدا نکند. اما مثلا کامپیوتر کاربران خانگی که افراد خانواده از آن استفاده می کنند و معمولا همگی نیز از یک حساب کاربری استفاده می کنند، این مسئله بسیار جدی و بحرانی می شود. من پیشنهاد می دهم که کاربران از برنامه های مدیریت کلمات عبور استفاده کنند و به هیچ وجه کلمات عبور خود را روی مرورگرشان ذخیره نکنند.

اما از اینجا آقای “جاستین اسکا”‌ مدیر امنیت کروم وارد بحث می شود و سعی می کند که از اقدامات تیم سازنده کروم دفاع کند. این پاسخ آقای اسکا به الیوت کیمبر در وبسایت Ycombinator است: تنها سطح امنیتی قدرتمند به منظور ذخیره سازی کلمات عبور، استفاده از امنیت حساب کاربری سیستم عامل است. بنابراین کروم از هر روش رمزنگاری که سیستم عامل در اختیارش قرار دهد استفاده می کند و این باعث ایجاد محیطی امن برای ذخیره کلمات عبور می شود و حساب های کاربری که با استفاده از کلمه عبور محافظت می شوند، امنیت کلمات عبور ذخیره شده در کروم را تضمین خواهند کرد. علاوه بر این ما متوجه شده ایم که سطوح امنیتی که در حساب های کاربری ایجاد می شود نه تنها قابل اعتماد نیستند، بلکه بیشتر نمایشی می باشند.

یکی از انتقاداتی که همواره متوجه گوگل و مرورگرش که این روزهای یکه تاز فضای وب است می شود، روند ذخیره سازی کلمات عبور در داخل مرورگر کروم است

ممکن است که گفته های آقای اسکا کمی برای شما نامفهوم باشند. پس کمی به توضیح آنها می پردازیم. در واقع آقای شو می گوید که کلمات عبور ذخیره شده در مرورگر کروم شما در حالتی امن هستند که حساب کاربری خود را با استفاده از کلمات عبور محافظت کنید و به هیچ فرد دیگری اجازه استفاده از حساب کاربری تان را ندهید. از لحاظ کلی این حرف مدیر امنیت کروم درست است و قاعدتا هر کسی – حتی افراد یک خانواده – باید از حساب های کاربری مجزا استفاده کنند. اما این مسئله در بین اکثر کاربران مرسوم نیست و همه افراد از یک حساب کاربری استفاده می کنند.

بخش دوم صحبت های آقای اسکا در مورد سطوح امنیتی است که توسط مرورگرهای دیگر و با نام Master Password به کار گرفته می شوند. مثلا مرورگر فایرفاکس که از Master Password استفاده می کند. مدیر امنیت کروم می گوید این سطوح غیر قابل اعتماد هستند. اما حتی اگر این سطوح غیر قابل اعتماد باشند، حداقل کلمات عبور را در مقابل چشمان دیگران قرار نمی دهند. این بخش از صبحت های آقای شو زیاد قانع کننده نبوده است.

رمزهای عبور عجیب

او ادامه می دهد: در نظر بگیرید که افراد خرابکار به حساب کاربری شما در سیستم عامل دسترسی پیدا کرده اند. اکنون آنها می توانند تمام کوکی های و تاریخچه مرورگرتان را بدزدند و یا با نصب یک افزونه‌ی مخرب، تمامی فعالیت های شما در سطح وب را رهگیری کنند. همچنین آنها می توانند برنامه هایی را نصب کنند که سطوح حساب های کاربری سیستم عامل را رسد کنند. به نظر من وقتی که کسی به اکانت شما نفوذ کند و یا به هر صورتی دسترسی داشته باشد، شما بازی را باخته اید. زیرا آنجا همه چیز وجود دارد و شما این دسترسی را به آنها داده اید. استفاده از Master Password نیز فقط یک حس امنیت کاذب به کاربران می دهد که در واقع تاثیری هم ندارد.

آقای “کوین پولسن”‌ یکی از بزرگترین هکرهای دنیاست و در نشریه Wired مشغول به فعالیت است از دو جنبه به این قضیه نگاه می کند. او می گوید که گوگل مانند یکی معمار امنیتی فکر می کند و از این نظر کاملا درست فکر می کند. گوگل با در معرض دید قرار دادن کلمات عبور سعی می کند تا این تفکر کاذب که کلمات عبور شما با استفاده از Master Password امن هستند را از بین ببرد.

آقای “آرماندو اوروزکو”‌ از تیم تحقیقاتی Malwarebytes بر این باور است که کروم تنها مرورگری نیست که به راحتی امکان مشاهده‌ی کلمات عبور را به کاربرانی با دسترسی فیزیکی به کامیپوتر می دهد. کافیست به بخش Password Manager فایرفاکس بروید.

همانطور که گفتیم، فایرفاکس امکان استفاده از Master Password را دارد ولی نه به صورت پیشفرض. پس استفاده یک کاربر مبتدی از فایرفاکس نیز که چیزی از امنیت کلمات عبور نمی داند، می تواند دردسرساز باشد. در هر صورت بهتر است که کاربران کلمات عبور ذخیره شده در مرورگرشان را پاک کرده و از سرویس ها و برنامه های مختص این کار مثل LastPass یا KeePass استفاده نمایند.

نظر شما چیست؟ به نظر شما جواب های گوگل قانع کننده است؟ شما چه روشی را ترجیح می دهید؟

فرآوری: فاطمه مجدآبادی

بخش دانش و زندگی تبیان


برگرفته از: گویا، وبلاگینا