خانه / سرویس های اینترنتی / چگونه پسوردهایمان را به اشتراک عمومی گذاشته ایم؟!
چگونه پسوردهایمان را به اشتراک عمومی گذاشته ایم؟!

چگونه پسوردهایمان را به اشتراک عمومی گذاشته ایم؟!

از امنیتی که در اینترنت دارید راضی هستید؟ از امنیت پسورد انتخابی خود اطمینان کامل دارید؟ اگر پاسخ تان مثبت است بدانید که در اشتباهید با من همراه باشید تا موضوع مهمی که همه ما فراموش کرده ایم را بگویم.در این نوشته قصد گفتن روشهای تکراری انتخاب پسورد امن را ندارم.

بحث امینت پسوردها بحث بسیار پیچیده و مهمی است مشکلی که از روزهای اول حضورم در اینترنت تا بحال با آن مواجه بودم نداشتن امنیت کافی در اینترنت بود مطمئنم خیلی از شماها هنوز این مطلب را کامل نخوانده در ذهنتان می گویید مگر من چه اطلاعاتی دارم که کسی بخواهد وقت برای هک کردن اطلاعاتم بگذارد، اما اشتباه اکثر ما حتی خود من اینجاست که دقیقا برعکس این ذهنیت ماست البته روش هایی که برای حفظ پسورد های اینترنتی خود در طی این چند سال به کار گرفتم را با شما در میان خواهم گذاشت.

اما قبل از شروع حرف هایم پیشنهاد می کنم این لینک را ببینید تا موضوع کلی این پست دستتان بیاید. هیچ وقت به این فکر کرده اید که از یک پسورد مشابه در چند سایت و سرویس استفاده می کنید؟؟ آیا از همان پسوردی که در شبکه های اجتماعی استفاده می کنید در انجمن های عمومی، سرویس های ایمیل و سایت دانشگاه و بانک هم در حال استفاده اید؟؟ اگر پاسخ شما مثبت است باید بگویم که واقعا شانس بزرگی داشتید که تابحال کسی از اطلاعات شما سوءاستفاده نکرده است. تا قبل از طراحی این سایت اینقدر به صورت ریز وارد جزئیات این قضیه نشده بودم، زمانی متوجه شدم که نرم افزار مدیریت پسورد Latpass در تست امنیتی که هر از چندی از سر بیکاری با آن کار می کنم اخطاری مبنی بر اینکه پسوردهای مورد استفاده در انجمن های اینترنتی  که اتفاقا عضو تعداد زیادیشان هستم با پسورد فضاهای ابری من یکی است!دچار شوک بزرگی شده بودم که چطور با این همه مراقبت و به روز بودنم باز هم چینن اشتباه خطرناکی از من سر زده بود. البته بلافاصله پسورد جدید تعیین کرده و مشکل را سریعا حل کردم و با خودم گفتم که چه بهتر است این تجربه بزرگ را در قالب پستی با شما به اشتراک بگذارم.

به نظرم انجمن های اینترنتی بدترین نوع سایت ها هستند زیرا یک روز می آیند و روز بعد بدون اینکه خبری بدهند خیلی راحت می روند مخصوصا در ایران خودمان. از آنجایی که مسئول اکثر انجمن هایی که جدیدا تاسیس شده اند بدون هدف خاصی اقدام به تاسیس آنها می کنند پس بعید هم نیست که روزی بی خبر پشیمان شوند و بروند پی کارشان. اما مشکلی که وجود دارد این است که اکثر افراد تازه وارد به اینترنت معمولا یک پسورد برای تمام فعالیت های آنلاین خود دارند آن هم چه پسوردهایی!! اگر دوستی یا آشنایی کوچکتر دارید حتما این موضوع را گوشزد کنید یا آدرس این مطلب را نشانش دهید که بخواند تا دچار ضرر نشود.

قبل از ادامه دادن حرف هایم باید بگویم که در این پست منظور خاصی به مسئولین هیچ کدام از انجمن های اینترنتی که در حال حاضر مطرح هم هستند ندارم چرا که خودم در خیلی از این انجمن ها فعالیت می کنم روی صحبتم با آنهاییست که از هر روزنه ای برای پیشبرد اهداف ناسالم خود استفاده می کنند، امروز می آیند و فردا خبری از آنها نیست. اجازه دهید سناریوی یک روش ابتدایی هک کردن که موضوع اصلی پست است را برایتان شرح دهم تا متوجه عمق فاجعه شوید.فرض کنید که مسئول یکی از این انجمن های اینترنتی اینقدر باحوصله باشد که پیگیر یک کاربر و فعالیت های آنلاین وی شود و به احتمال یک درصد، یوزر و پسوردی که این کاربر در انجمن وی استفاده کرده در سایر انجمن ها هم یکسان باشد که معمولا هم اینطور است( فکر نمی کنم شخصی پیدا شود که برای هرسایت و انجمن یک یوزر جدا داشته باشد)

با این روش هر مدیر انجمنی می تواند وارد اکانت این کاربر در سایر انجمن های اینترنتی شود و به اطلاعات حساسی مانند تاریخ دقیق تولد،نام شهر و علایق و همینطور آدرس ایمیل و سولاات امنیتی هم دست پیدا کنند، شاید از نظر شما این اطلاعات مهم نباشد اما برای یک هکر همانند طلا با ارزش هستند زیرا با همین اطلاعات به ظاهر بی ارزش، هکر امکان دسترسی به اکانت شبکه های اجتماعی،ایمیل ها و فضاهای ابری را پیدا می کند اگر کاربر مورد نظر ما وب مستر باشد که شرایط وخیم تر می شود زیرا باید با اطلاعات سایتش خداحافظی کند، از طرف دیگر دسترسی به ایمیل یعنی دسترسی به تمام حسابهای آنلاین بانکی که معمولا بیشتر کاربران نتیجه تراکنش های بانکی را در فضای ایمیل شان ذخیره می کنند. هک شدن با این روش بسیار ساده است زیرا ما با بی دقتی خود امنیت مان را به دست این انجمن ها و سایتهایی میسپاریم.

بیشترین خطر متوجه کاربران آنلاینی می شود که در انجمن هایی عضو هستند که در ازای دریافت مبلغی، خدمتی خاص ارائه می دهند مانند انجمن های دانلود آفلاین،انجمن های دریافت فریمور اصلی گوشی،انجمن های فروشگاهی و هاستینگ و..

اجازه دهید در مورد یکی از این انجمن ها تجربه ام را بگویم، تابستان فصلی است که اکثر کاربران برای عضویت در سرویس دانلود آفلاین سرودست می شکنند زیرا دوست دارند به صورت رایگان با سرعت بالا فایلهای ارسالی را از تمام گروههای آفلاین دریافت کنند، ممکن است یک کاربر در چند انجمن ارائه دهنده این سرویس عضو شود تا بتواند از فایل های دریافت شده اش استفاده کند از طرفی مدیران این انجمن ها جهت جاسوسی و دریافت اطلاعات از همکاران به دلایلی مانند رقابت یا ادعای بهترین بودن خود با مشخصات یکی از این کاربران وارد سایت های همکار خود می شود و به اهداف خود می رسد زمانی که یک مدیر به این راحتی وارد انجمن های دیگر می شود چرا نتواند از اطلاعات ثبت شده کاربر در سایتش استفاده کند و وارد سرویس های دیگر نشود؟؟ راهی که برای جلوگیری از لاگین کردن شخصی غیر از شما به این انجمن ها وجود دارد این است که کاربران از آی پی ثابت استفاده کنند،از طرفی انجمن ها و سایت های عمومی هم باید دارای نرم افزار تشخیص آی پی باشند که به علت هزینه زیاد معمولا مقرون به صرفه نیست و هیچکدام از طرفین قادر به استفاده از این سرویس ها نیستند و به ناچار عطایش را به لقایش می بخشیم.

روش دیگری که برای افشا اطلاعات در محیط آنلاین وجود دارد و هیچ وقت هم توجه چندانی به آن نمی کنیم این است که اکثر سرویس های اینترنتی برای لاگین سریعتر با یکدیگر از OpenID کمک می گیرند که در این روش سایت ها از تکنیک Authentication  برای دستیابی به اطلاعات کاربران استفاده می کنند البته در این روش آن طور که در صفحه دسترسی می نویسند با پسوردهایتان کاری ندارند اما به اطلاعاتی مانند گروه دوستان و اطلاعات پایه ای دست پیدا می کنند، اگر توجه کرده باشید در زمان گرفتن دسترسی اکثر سایت هایی که از این روش استفاده می کنند گوگل را بیشتر از سایرین قبول دارند جدا از بحث لیدر بودن شرکت گوگل در تمام زمینه ها،همه می دانند که اکثر کاربران روی سرورهای این شرکت اطلاعات مهمی دارند و دسترسی به این اطلاعات بسیار حیاتیست.

به سرویس های ایرانی اجازه دسترسی از طریق Openid به ایمیل اصلی خود ندهید، سعی کنید یوزری معمولی بسازید و پسورد را طبق گروه بندی که بالاتر توضیحش را دادم اعمال کنید البته سایت های ما آن قدر پیشرفته نیستند که از این تکنیک ستفاده کنند پس جای نگرانی زیادی نیست اگر هم سایت هایی وجود داشته باشند تعدادشان از انگشتان دستتان کمتر است!سعی کنید در انجمن های اینترنتی ایمیلی غیر از ایمیل اصلی خود ثبت کنید و ایمیل اصلی را فقط برای ریکاوری پسورد، سرویس های مهمتر استفاده کنید. اگر سایت شخصی دارید که احتمالا شخص حرفه ای در این زمینه هستید اما یک توصیه کوچک دارم در سایت شرکت هاستینگ خود که به عنوان یوزر جهت پشتیبانی وثبت تیکت ثبت نام کردید سعی کنید پسورد این سایت که در ظاهر چیز مهمی نیست را با تمام سایتهای دیگر جدا انتخاب کنید زیرا در قسمت پنل سفارشات شما یوزر پسورد ورود به  سی پنل سایت ثبت شده،عجیب تر اینجاست که حتی رمز عبور به صورت ستاره نیست تا خیالمان کمی راحت باشد اینجاست که باز هم ریسکی خطرناک در کمین است. در ضمن پسورد سیستم مدیریت محتوا و دیتابیس سایت خود را یکسان انتخاب نکنید، نفوذ به دیتابیس سایت یعنی خداحافظی با تمام زحمات و هزینه هایی که متحمل شدید.

معمولا اکثر کاربران ما سواد امنیتی کافی ندارند و نمی دانند که نوشتن ایمیل اصلی در سایتهای این چنینی چه ضرر بزرگی به زندگی مجازیشان و گاه حقیقی شان می زند. اشتباه دیگری که همگی می کنیم این است که در سایت های عمومی اطلاعات مهمی مانند تاریخ تولد را درست وارد می کنیم به هوای اینکه در روز تولد مان از طرف این سایت ها پیام تبریکی دریافت کنیم یا اینکه در زمان فراموشی رمز عبور امکان دریافت رمز جدید را داشته باشیم که البته با فرض دوم باید اطلاعات درست وارد کنیم تا در مواقع ضروری دچار فقدان اطلاعات ابتدایی خود نشویم،از طرفی امکان به حافظه سپردن اطلاعات گوناگون وجود ندارد پس تنها یک راه حل می ماند که در زیر معرفی می کنم. در این لینک که اینفوگرافی از قضیه لو رفتن 5 میلیون پسورد در سرویس جیمیل می باشد تمام حرفهای بنده به شکل زیبایی طراحی شده پیشنهاد می کنم تا لود کامل تصویر تحمل داشته باشید.

راه حل چیست؟

خوب این همه تایپ و سخنرانی کردم تا برسم به قسمت مهمتر پستم! ابتدا سایت هایی که در آنها عضو هستید را به دسته های متفاوتی تقسیم کنید تا امکان مدیریت پسوردهایتان را به شکل حرفه ای تر داشته باشید مثلا دسته ای شامل انجمن های اینترنتی و سایت های عمومی که از بقیه بی اهمیت تر هستند،فضاهای ابری،بانک ها،سرویس های ایمیل،شبکه های اجتماعی،دانشگاه،فروشگاه اینترنتی و …. یا هر چیز دیگری که خودتان راحت ترید.سپس برای هر گروه یا دسته کم چند گروه مهمتر مانند بانک،ایمیل و فضای ابری پسوردی جداگانه تعریف کنید پسورد انتخابی ترجیحا کمتر از 12 کاراکتر نباشد نوع کاراکترها هر چه مخلوط تر بهتر. فقط طوری باشد که بتوانید به ذهنتان بسپارید.برای آشنایی با روشهای  انتخاب پسورد مناسب می توانید از توصیه های این وبلاگ استفاده کنید که نویسنده آن یک هکر است.اگر در نهایت باز هم با راهنمایی های این وبلاگ نتوانستید پسوردهایی مناسب پیدا کنید پیشنهاد بنده افزونه LastPass است که روی فایرفاکس و تمام مرورگرهای شناخته نصب می شود نرم افزار Lastpass با داشتن گزینه ای به نام Generate Secure Password کارتان را راه می اندازد که با تنظیمات مختلف امکان انتخاب پسوردی مناسب را میسر می سازد اگر می توانید این چند رمز را به ذهنتان بسپرید که خیلی بهتر است زیرا امن ترین مکان برای پسوردها فقط ذهن هر شخص است اما اگر کم حافظه هستید پیشنهاد می کنم برای تمام مرورگرهای اینترنتی افزونه LastPass را دانلود و نصب کنید سپس اکانتی رایگان در سایت این افزونه بسازید و با تعریف کردن پوشه یا گروه های مختلف امکان مدیریت حرفه ای پسوردها را به خود بدهید و امنیت تان را دوچندان کنید. اگر هم نیاز به آموزش کامل برای فعالسازی این افزونه دارید به مقاله کاملی که سایت زومیت با عنوان هر آنچه باید درباره برنامه LastPass بدانید” تهیه کرده مراجعه کنید.

hack

نحوه کار کردن Lastpass و امنیت این سرویس

افزونه lastpass دارای رمزنگاری به شیوه AES  256 بیتی می باشد که تمام داده های شما را با یک Master Paaword یا پسورد اصلی مورد محافظت خود قرار می دهد،در این شیوه امنیت پسورد شما تضمین می شود البته هر سرویسی دارای مشکلاتیست با این حال اگر نمی دانید این متد رمزنگاری چگونه کار می کند و چه میزان امنیت دارد از دوستان و آشنایانی که در رشته های آی تی و آی سی تی در حال تحصیل هستند بپرسید که استادشان در درس امنیت اطلاعات راجع به این شیوه رمزنگاری چه چیزهایی به آنها گفته است اما برای اینکه مقاله کاملتری ارائه داده باشم و در انتخاب شیوه مدیریت پسورد به شما کمک کرده باشم به صورت خلاصه و ساده کمی موضوع را بازتر می کنم، از لحاظ عملکرد پسوردها بعد از رمزنگاری در این سرویس فقط توسط یک کلید رمزنگاری که حتی در سرور هم  ثبت نمی شود قابل دسترسی است. مفهوم این جمله این است که حتی خود سازنده و کارمندان شرکت، امکان دسترسی به پسوردها را ندارند، حتی اگر شخص هکر بتواند رمز ها رو decryption کند، به عباراتی نامفهوم و هرز دست پیدا می کند زیرا کلید رمز (Master Password) فقط در ذهن شماست و استثنائا این یک رمز را نباید فراموش کنید. روش باز کردن رمز اصلی در این سرویس بدین شکل است که تنها با کامپیوتر کاربران رمزگشایی می شود یعنی این شرکت از Hash(هش) یک طرفه برای بازکردن رمز اصلی روی سیستم کاربر استفاده می کند، حتی پس از پیدایش باگ خونریزی قلبی Lastpass اعلام کرد که با توجه به مکانیزم های امنیتی ذکر شده،  در ۲ سال اخیری که این باگ در سیستم های امنیتی اکثر شرکت ها وجود داشته، از گزند آن در امان بوده  و باز هم این ایمنی را مدیون این می داند که در سرورهای خود از هیچ یک از الگوریتم های رمزنگاری اش بهره نبرده و تمامی این الگوریتم ها را بر روی دستگاه های شخصی افراد تعبیه کرده است.

پس متوجه شدید که کسی به اطلاعات روی سرورها دسترسی ندارد با این حال اگر می خواهید بگویید که باز هم به فضای آنلاین اعتمادی ندارم و نمی توانید مهمترین قسمت از فعالیت آنلاین تان را به دستان سایت دیگری بسپارید حرفتان را تا حدودی قبول دارم اما در شرایط کنونی این گزینه بهترین و حرفه ای ترین و آسانترین راه حل است،در ضمن یکی از محاسن این سرویس امکان دسترسی از طریق وب سایت آن است که دیگر همه جا می توانید به پسوردهایتان دسترسی داشته باشید ولی برای آسایش خاطرتان پیشنهاد می کنم که از نرم افزارهای آفلاین تحت ویندوز استفاده کنید که به صورت خودکار بعد از نصب شدن افزونه مخصوصشان را برای مرورگرتان اضافه می کنند تا همزمان به پسوردهایتان دسترسی داشته باشید،علت اینکه نرم افزارهای اوپن سورس را معرفی نکردم این بود که این نرم افزارها به صورت اسمی رایگان هستند اما هیچ چیز رایگانی بی چشم داشت نیست و هیچ کدام از کاربران عادی آنقدر حرفه ای نیستند تا کدهای نوشته شده این نرم افزارها را تست کنند از طرفی کار کردن با نرم افزارهای اوپن سورس یا رایگان طبق تجربه ای که در استفاده از سیستم عاملهای لینوکسی داشتم آن طور که فکر می کنید راحت نیست و کمی روی ویندوز بدقلق هستند البته قصدم بدگویی از این سیستم عامل نیست ولی تنها نرم افزار رایگانی که برای مدیریت پسورد از لینوکس به ویندوز ارث رسیده Keepas می باشد،این نرم افزار رایگان برای فعال شدن در مرورگرها باید پلاگین های مخصوص هر مرورگر را جداگانه نصب کنید،این ابزرا دارای پلاگین های بسیاری می باشد که در صورت استفاده کاملا بی نیاز می شوید. اگر هم با نحوه کار کردنش مشکل داشتید در نظرات اعلام کنید تا راهنماییتان کنم .

نرم افزارهای حرفه ای تر ویندوزی هم عمدتا مشکل کرک کردن را دارند و از طرفی تنها نرم افزار ویندوزی که خودم قبلا با آن تجربه کار کردن داشتم مربوط به شرکت کسپراسکای بود که به نام Kaspersky Password Manager مشهور است و از این لینک  قابل دریافت کردن است.این نرم افزار دارای افزونه ای است که بعد از نصب به صورت خودکار به شکل آیکونی کوچک در گوشه سمت راست مرورگرتان اضافه می شود اما مشکلی که جدیدا برای آن به وجود آمده است مربوط به آپدیت های نامنظم و با عجله فایرفاکس می باشد که بعد از هر آپدیت فایرفاکس افزونه آن از کار می افتد و باید منتظر آپدیت این نرم افزار از طرف شرکت کسپراسکای باشید،انتخاب روش ذخیره پسوردها با خودتان اما پیشنهاد فعلی بنده روی Lastpass می باشد.

مزایای ذخیره پسورد در Lastpass  نسبت به نرم افزارهای آفلاین و مشابه

  • قابلیت دسته بندی سایت ها و جستجوی سریع (خیلی به کارتان می آید می توانید سریعتر به سایت مورد نظر جهت ویرایش اطلاعات یا حذف و.. دسترسی پیدا کنید)
  • سازگاری با انواع مرورگرهای وب که شامل،فایرفاکس،اینترنت اکسپلورر،گوگل کروم،سافاری،مکستون،مرورگر روی موبایل شامل دلفین و فایرفاکس (روی دلفین نسخه آزمایشی 14 روزه نصب می شود اما بسیار کاربردیست)
  • امکان رمزنگاری پیشرفته و به روز شدن همیشگی (با وجود تحریم کردن کشور ما افزونه آن از طریق سایت اصلی قابل دانلود نیست اما هنوز هم از طریق مخزن افزونه ها در سایت فایرفاکس قابل دریافت است)
  • امکان وارد کردن از 25 نرم افزار مدیریت پسورد دیگر البته غیر از Kaspersky Password Manager و قابلیت خارج کردن اطلاعات به صورت رمزنگاری شده یا معمولی در قالب فایل اکسل!
  • تعیین کشوری خاص برای وارد شدن به سیستم یا اینکه اگر شخصی غیر از آی پی شما وارد سیستم شد با ایمیل خبر دهد.(نرم افزارهای آفلاین به هیچ وجه این قابلیت را ندارند)
  • می توانید این نرم افزار را طوری تنظیم کنید که در صورت بیکار ماندن کامپیوتر به طور خودکار از برنامه خارج شود.
  • و مهمترین امکان از نظر من امکان دسترسی آنلاین از همه جا به پسوردهاست
  • و ….

غیر از این سرویس که فقط از آن تعریف کردم در طی نوشتن این پست با سرویس دیگری به نام Dashlane آشنا شده ام که همانند سرویس Lastpass فعالیتش را به تازگی شروع کرده، تستی برای آشنا شدن با آن کردم که سعی می کنم به زودی تجربیاتم را در قالب پستی جدید منتشر کنم.

نتیجه نهایی

نتیجه این همه نوشتن این می شود که شما برای هرکدام از سرویس های مهم خود باید یک پسورد جدا داشته باشید مخصوصا برای حساب های آنلاین بانکی و ایمیل و هاست شخصی.بک آپ مقطعی از هرنرم افزار و سیستمی که قصد استفاده آن را دارید فراموش نکنید این احتمال را بدهید که LastPass از فردا به ما سرویس نمی دهد. از دست چه کسی می خواهید شکایت کنید؟ در صورت قطع کردن سرویس هیچ راهی برای دستیابی به پسوردهایتان ندارید پس همیشه جانب احتیاط را رعایت کنید. پسورد اصلی که در لست پس یا تحت ویندوز استفاده می کنید سخت ترین و پیچیده ترین باشد و با بقیه پسوردهایتان به هیچ وجه تکراری نباشد.

امیدوارم توانسته باشم تجربیاتم در زمینه امنیت را به خوبی به شما منتقل کرده باشم برای امنیت خود در اینترنت حتی یک لحظه غفلت نکنید.اگر سوال یا مشکلی داشتید بپرسید.

موفق باشید

درباره‌ محمد علی پور

محمد علی پور هستم فارغ التحصیل رشته ICT.قبل از اشتراک هر مطلبی اول آن را تجربه می کنم سپس با شما در میان می گذارم. معرفی کاملترم در صفحه "درباره یک جوان" موجود است.

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*