جستجو در تالارهای گفتگو

انتخاب یک رمزعبور مناسب احتمال اینکه کسی توانایی حدس زدن چنین ترکیبی را داشته باشد، کاملا منتفی است. (ترکیبی از بیست کاراکتر با امکان جانشینی کاراکتر در هر مکان؛ با در نظر گرفتن مجوز تکرار هر کاراکتر! محاسبه تعداد حالات ممکن آن نیاز به دانش ریاضی چندانی ندارد. کافی است بیستبار عدد ۹۲ را در خودش ضرب کنید؛ به عبارتی ۹۲ به توان بیست. با کمک Roboform می توان کلمه عبور را ذخیره کرد و به کمک متدهای پیشرفته DES از آن محافظت نماید. کاری که باید انجام دهیم، به خاطر سپاری فقط یک کلمه عبور است. در واقع کلمه عبور اصلی برای خود Roboform بقیه کلمات عبور را خود برنامه به خوبی به خاطر خواهد سپارد.این برنامه توانایی ذخیره تعداد بسیار زیادی کلمه عبور و همچنین توانایی تولید کلمات عبور تصادفی با حداکثر طول ۵۱۲ کاراکتر را دارد. شاید یکی از نکات منفی این برنامه این باشد که نسخه رایگان آن توانایی های محدودی دارد. در واقع این برنامه یک محصول تجاری است. همچنین به دلیل این که اختصاصی است، مشخص نیست به چه صورت به رمزگذاری یا تولید کلمات عبور اقدام می نماید. به عبارتی،چگونگی عملکرد برنامه مشخص نیست. ممکن است این فاکتور در استفاده های شخصی زیاد مشکل ساز نباشد، اما در وضعیت های امنیتی سطح بالا یک ابزار تولید کلمات عبور منبع باز مانند PWGen، می تواند انتخاب بهتری باشد. KeePass( و ) Password Safe ، به عنوان دو ابزار اپن سورس دیگر می توانند در مدیریت و تولید و نگهداری کلمات عبور به شما کمک کنند؛ بدون اینکه نگرانی ای بابت چگونگی عملکردشان داشته باشید. در نهایت، در هر جایی که امنیت برای ما اهمیت داشته باشد، باید کلمات عبور کوتاه تر از هشت کاراکتر را فراموش کنیم. برای برنامه های حساستر، کلمات عبور طولانی تر و با ترکیب بیشتری می توان تهیه کرد. در موارد خاص، جایی که نیاز به سطح امنیتی بسیار بالا داشته باشیم یا امکان استفاده از کلمات عبور طولانی تر از بیست کاراکتر را داشته باشیم، یا قابل حمل بودن مد نظر باشد (یعنی زمانی که باید کلمه عبور را بدون کمک نرم افزار خاصی به خاطر بسپاریم)، مطمئنا از کلمات عبور )Passphrase( استفاده می شود.البته روش و تکنیک شما می تواند کاملا متفاوت از موارد ذکر شده باشد. موارد مطرح شده فقط به عنوان مثال ذکر گردیدند. اما نکته مهم در مورد کلمات عبور کوتاه یا کلمات عبور طولانی که به راحتی تشخیص داده می شوند این است که کاملا بیاستفاده هستند. اگر خط مشی خود را در مورد تهیه کلمات عبور در در چند سال اخیر تغییر نداده اید، اکنون زمان مناسبی برای پرداختن به این کار است. همچنین زمان مناسبی جهت توجه به ابزارهایی است که امکان تولید و استفاده از کلمات عبور طولانی تر و مطمئن تری را به راحتی در اختیار ما قرار می دهند.

هفت قانون ابتدایی برای برنامه نویس ها هنگام ایجاد سیستم های رمزعبور در نگهبان همیشه از امنیت رمزهای عبور و شیوه های انتخاب رمزعبور خوب و قوی صحبت کرده ایم، اما بگذارید این بار، هر چند کوتاه، روی صحبت مان با برنامه نویسان و توسعه دهندگانی باشد که می خواهند در سایت یا برنامه شان یک سیستم رمزعبور راه اندازی کنند. ۱- اگر هر بخشی از رابط کاربری تان یا کدهای نوشته شده، کادر ورود رمزعبور در حالت Plaintext را به کمتر از ۲۵۵ کاراکتر محدود می کنند، این یک باگ است. ۲- اگر نمی توانید از پس رمزهای عبور حاوی Space و Tab بر آیید، سیستم شما باگ دارد. ۳- اگر رمزهای عبور در برنامه شما hash نشده هستند، این یک باگ است. ۴- اگر رمزهای عبور را با سیستمی به جز Bcrypt، هش می کنید، این یک باگ است. رمزعبور در سیستم bcrypt() حداکثر ۵۵ کاراکتر می تواند باشد، اما این دیگر ایراد کار شما نیست. ۵- اگر به کاربران اجازه می دهید که رمزهای عبور کوچکتر از ۱۲ کاراکتر انتخاب کنند، این یک باگ است. ۶- اگر به شیوه های مختلف کاربران تان را برای داشتن رمزعبور منحصر به فرد برای سرویس تان تشویق و ترغیب نمی کنید، این یک باگ است. ۷- اگر کاربران تان را به استفاده از عبارات عبور به جای کلمه عبور تشویق و ترغیب نمی کنید، این یک باگ است. بله، این قوانین کاملا مستبدانه هستند. اینها هفت قانون اصلی و پایه ای هستند که در پوششی از خودبینی و غرور پیچیده شده اند. اما اگر همین هفت قانون به ظاهر پیش پا افتاده در تمام برنامه ها و سایت های دنیا مورد استفاده قرار گیرند، هک کردن رمزهای عبور به کاری فوق العاده سخت و طاقت فرسا تبدیل خواهد شد. منبع : نگهبان | امنیت به زبان ساده

برخی باورهای غلط درباره رمزعبور ویندوز علی رغم تمام پیشرفت انسان در تکنولوژی امنیت، یک اصل همچنان ثابت باقی مانده: رمزهای عبور هنوز نقش اصلی را در سیستم های امنیتی بر عهده دارند. از طرفی هم ایراد رمزهای عبور این است که بسیاری اوقات یکی از دیوارهای امنیتی هستند که بسیار راحت شکسته می شوند. اگر چه ما می توانیم با استفاده از تکنیک های ویژه و رعایت خط مشی مشخص، رمزهای عبور را قوی تر و امن تر کنیم، ولی باز هم با ضعیف ترین حلقه در سیستم امنیتی مشکل خواهیم داشت: عنصر انسانی. درنهایت هدف این است که کاربران رمزهای عبور بهتری انتخاب کنند. هر چند که اصلا شیوه دستیابی به این هدف واضح و مشخص نیست. مشکل اینجا است که هر اندازه انسانها خلاقتر باشند، بیشتر و بیشتر قابل پیشبینی خواهند بود. اگر به شما بگویم که لیستی از کلمات کاملا تصادفی ایجاد کنید، ناگزیر یک الگو در لیست شما پدیدار می شود. انتخاب رمزعبور مناسب، نیاز به آموزش دارد. مدیران شبکه به آموزش نیاز دارند و این آموزه ها باید به کاربران نهایی هم منتقل شود. اینجا قصد داریم با معرفی برخی باورهای اشتباه درباره رمزهای عبور ویندوز، قدمی در راه آموزش صحیح انتخاب رمزعبور برداریم. باور شماره یک: Dj‪#‬wP3M‪$‬c یک رمزعبور عالی است باور عموم بر این است که رمزهای عبوری که توسط برنامه های رمزساز از کاراکترهای کاملا تصادفی ایجاد می شوند، بهترین رمزهای عبور هستند. این حقیقت ندارد. در حین اینکه آنها می توانند رمزهای عبور قوی باشند، به خاطر سپاری آنها بسیار مشکل است، تایپ کردن آنها به آهستگی صورت می گیرد و برخی اوقات ممکن است با الگوریتم های رمزساز برنامه های رمزشکن مورد حمله قرار گیرند. تولید رمزعبوری که به همین قدرت باشد، اما به خاطر سپاری آن بسیار راحت تر باشد، کاری آسان است که تنها نیاز به دانستن چند تکنیک دارد. در درس های قبلی نگهبان به دفعات این مطلب را یادآوری کرده و تکنیک های مناسبی برای آن معرفی کرده ایم. اینجا هم به ذکر یک نمونه می پردازیم: ‏Makeit20‪@‬password‪.‬com در این رمزعبور از حروف کوچک و بزرگ استفاده شده است. حاوی ۲ عدد و دو کاراکتر سیمبل است. به اندازه کافی طولانی است و از ۲۰ کاراکتر تشکیل شده و در نهایت اینکه با کمی سعی به راحتی می توان آن را به خاطر سپرد. شاید حتی بعد از اتمام این مقاله، شما آن را در خاطر خود داشته باشید. علاوه بر این، تایپ این رمزعبور بسیار سریع انجام می شود. بخش Makeit20 به تناوب میان کلیدهای چپ و راست کیبرد تقسیم شده که باعث افزایش سرعت و کاهش غلط تایپی می گردد. در نتیجه سعی افراد فضول برای خواندن رمزعبور از روی دست شما با شکست مواجه می شود. باور شماره دو: ۱۴ کاراکتر برای یک رمزعبور خوب، کاملا مطلوب و کافی است در ویندوزهای قدیمی، همچون NT سیستم رمزنگاری و ذخیره رمزعبور به گونه ای بود که شما تنها می توانستید تا ۱۴ کاراکتر برای رمزعبور انتخاب کنید. سیستم عامل هم رمزعبور شما را در دو دسته ۷ کاراکتری رمزنگاری و نگهداری می کرد. در نتیجه شکستن و کشف این رمزها نسبت به رمزهای ۱۴ کاراکتری، با حملات بروت-فورس کار ساده ای بود. اگر هم که شما رمزعبور مثلا ۹ کاراکتری انتخاب می کردید که دیگر وضع بدتر می شود. زیرا هکر با یک کد ۷ کاراکتری و یک کد ۲ کاراکتری طرف بود. کد هفت کاراکتری چند ساعت زمان وی را می گرفت، اما کد ۲ کاراکتری در مدت زمان کمی شکسته می شد. به همین دلیل افراد حرفه ای همیشه پیشنهاد می کردند که رمزعبور مناسب باید ۱۴ کاراکتر باشد. اما در سیستم عامل های جدیدتر مایکروسافت همچون ویندوز ایکس پی، ویندوز ۲۰۰۰ و … دیگر با محدودیت ۱۴ کاراکتری روبرو نیستید و رمزعبور می تواند تا ۱۲۷ کاراکتر طول داشته باشد. در صورتی که رمزعبور شما ۱۵ کاراکتر یا بیشتر باشد، ویندوز آن را با مکانیسم دیگری به صورت یک تکه رمزگذاری و نگهداری می کند. اما اگر از همان ۱۴ کاراکتر یا کمتر استفاده کنید، به سراغ همان سیستم ضعیف قدیمی و دو تکه کردن رمزعبور می رود. پس بهترین طول برای رمزعبور، حداقل ۱۵ کاراکتر است که هرچه بیشتر شود، بهتر و قوی تر است. باور شماره سه: J0hn99 رمزعبور خوبی است علی رغم آنچه که عموم کاربران فکر می کنند، این عبارت رمزعبور قوی و مناسبی نیست. بسیاری از برنامه های رمزشکن امکان این را دارند که در هر ثانیه میلیون ها کلمه مختلف را تست کنند. حروف و اعداد را با هم جایگزین کنند (مثلا 0 به جای o) و اعداد تصادفی را به کلمات افزوده و آنها را آزمایش کنند. یک هکر رمزشکن در برنامه ای که آماده می کند، همیشه چیزی بیش از خلاقیت کاربران معمولی را در آن می گنجاند. رویکرد بهتر آن است که کمتر قابل پیشبینی باشید. مثلا به جای اینکه حرف o را با عدد 0 جایگزین کنید، بهتر است که آن را با کاراکترهای () جایگزین نمایید J‪()‬hn. و مطمئنا هرچه که رمزعبورتان طولانی تر شود، قدرت آن هم بیشتر می شود. باور شماره چهار: سرانجام هر رمزعبوری شکسته خواهد شد اگرچه رمزعبور ممکن است از طریق برخی ابزارها و روشها (مانند کی لاگر و مهندسی اجتماعی) کشف شود، اما این امکان وجود دارد که رمزعبورهایی تولید کنید که در مدت زمان معقول، غیر قابل هک باشند. اگر رمز عبور به اندازه کافی طولانی باشد، نیاز به زمان بسیار طولانی یا قدرت پردازش بسیار بالایی برای شکسته شدن دارد. به گونه ای که به صورت کلی می توان آن را غیرقابل نفوذ دانست یا حداقل برای اغلب هکرها اینگونه خواهد بود. بله، سرانجام هر رمزعبوری شکسته خواهد شد، اما احتمالا این اتفاق در زمان حیات شما به وقوع نخواهد پیوست. به جز اینکه شما با یک تیم هک وابسته به دولت ها روبرو باشید، یک رمزعبور طولانی می تواند کاملا امن باشد. البته ممکن است پیشرفت انسان در افزایش قدرت پردازش، روزی این باور را به واقعیت تبدیل کند. باور شماره پنج: رمزهای عبور باید هر ۳۰ روز یکبار عوض شوند هرچند که این مورد ممکن است پیشنهاد خوبی برای برخی رمزهای عبور با ریسک و خطر بالا باشد. اما این کار خط مشی مناسبی برای عموم کاربران نیست. الزامی کردن تغییر دوره ای رمزعبور، اغلب باعث می شود کاربران یک الگوی قابل پیش بینی شخصی را برای انتخاب رمزعبور طرح ریزی کرده و توسعه دهند. یا اینکه میزان کارایی و امنیت رمزهای عبورشان کاهش یابد. معمولا این اجبار واقعا کاربر را تحت فشار قرار می دهد. همچنین سخت است که یک کاربر عادی این ثبات قدم را داشته باشد که هر ۳۰ روز یکبار، رمزعبور جدیدی بسازد و آن را به خاطر بسپرد. شاید به جای تاکید روی تعیین طول عمر برای رمزعبور، بهتر باشد توجه مان را بر روی ساخت رمزهای عبور قوی تر و آگاهی بیشتر کاربران متمرکز کنیم. طول عمر رمزعبور که به واقعیت نزدیک تر باشد، می تواند ۹۰ یا ۱۲۰ روز تعیین شود. هرچه به کاربر مدت زمان بیشتری بدهید، بهتر می توانید وی را برای ساخت و استفاده از رمزعبور قوی تر آموزش داده و متقاعد کنید. باور شماره شش: شما هرگز نباید رمزعبورتان را جایی بنویسید درست است که این مورد یکی از پیشنهادات امنیتی خوب است، اما گاهی اوقات نوشتن رمزهای عبور ضروری و غیرقابل اجتناب است. اگر به کاربران اجازه دهیم که رمزعبور را در جای مطمئنی یادداشت کنند تا هنگام فراموشی به آن مراجعه کنند، این کار به آنها احساس بهتری می دهد و با خیال راحت تر از رمزهای عبور سخت و قوی استفاده می کنند. اگر چه آموزش شیوه صحیح یادداشت رمزعبور به کاربر بسیار مهم است. استفاده از کاغذ یادداشت و چسباندن آن روی مانیتور اصلا شیوه صحیح و مناسبی نیست. اما نگهداری رمزهای عبور در یک کشوی امن و تا حد امکان قفل شده می تواند خط مشی مناسب با امنیت کافی باشد. و مهمتر از همه اینکه هنگام بیرون ریختن این یادداشت های قدیمی، به هیچ وجه در رعایت نکات امنیتی کوتاهی نکنید. ممکن است برخی رمزهای عبور درون این یادداشت ها هنوز در حال استفاده باشند و ریختن آنها به درون زباله دانی، باعث سوءاستفاده از آنها و به خطر افتادن امنیت تان گردد. یک راه هم این است که به کاربران آموزش دهید رمزهای عبورشان را در نرم افزارهای امن ویژه این کار نگهداری کنند. این کار به کاربران امکان می دهد که تعداد بسیار زیادی رمزعبور امن و طولانی را بدون نیاز به حفظ کردن، در یک مکان امن که با یک رمزعبور اصلی محافظت می شود، نگهداری کنند. برای دستیابی به لیست کامل رمزهای عبورتان، تنها لازم است که رمزعبور اصلی برنامه مدیریت رمزهای عبور را به خاطر داشته باشید. البته قبل از اینکه به کاربران اجازه دهید که از چنین برنامه هایی استفاده کنند، باید آنها را درباره خطرات این کار آگاه کنید. اول اینکه خود این برنامه ها با توجه به محتوای غنی رمزهای عبور مهمی که نگهداری می کنند، ممکن است به اهدافی برای حمله تبدیل شوند. دوما، با توجه به اینکه تمام رمزهای عبور کاربر وابسته به یک رمزعبور اصلی هستند، فراموشی یا از دست دادن آن برای نابودی تمامی رمزهای عبور کافی است. بهترین تکنیک استفاده از مخلوط این دو روش نگهداری رمزعبور است، یادداشت و حفاظت فیزیکی از رمزعبور اصلی به همراه استفاده از نرم افزارهای مدیریت رمزعبور مطمئن و امن بهترین نتیجه را در بر خواهد داشت. گاهی اوقات لازم است که رمزهای عبور در مدارک و اسناد مکتوب ثبت گردند. اتفاق غیرمعمولی نیست که ببینیم یک شرکت فقط به خاطر از دست دادن و یا رفتن مدیر سرور (که تنها فرد دارنده رمزعبور کامپیوترهای مرکزی است)، دچار مشکلات فراوانی شده است. شما باید تا حد امکان از نوشتن و ثبت کتبی رمزهای عبور اجتناب کنید. اما اگر ثبت کتبی آنها ضروری است، درخصوص نگهداری از آن باهوش باشید و درست عمل کنید. باور شماره هفت: رمزعبور نمی تواند حاوی اسپیس (فاصله) باشد برخلاف باور عموم، ویندوز ۲۰۰۰، ایکس پی و دیگر ویندوزهای بعد از آن، قابلیت استفاده از کلید اسپیس در رمزعبور را دارند. جالب تر اینکه امروزه بسیاری از سایت ها و نرم افزارها هم این امکان را به شما می دهند. در حقیقت، شما هر کاراکتری را که در ویندوز قادر به مشاهده آن باشید، امکان استفاده از آن در رمزعبور را دارید. بنابراین اسپیس یک کاراکتر کاملا معتبر در رمزعبور ویندوز خواهد بود. البته بسته به برنامه های مختلف، معمولا کاراکتر اسپیس در ابتدا یا انتهای رمزعبور چندان مناسب نخواهد بود. فاصله ها به کاربر اجازه می دهد تا راحت تر رمزهای عبور پیچیده را تولید و به خاطر بسپرد. استفاده از اسپیس در میان کلمات رمزعبور، می تواند کاربر را به استفاده تعداد کلمات بیشتری تشویق کند. حال بگذارید به ایراد استفاده از اسپیس بپردازیم: کلید اسپیس هنگام فشرده شدن صدایی ویژه و متمایز از سایر کلیدها تولید می کند، پس تشخیص صدای آن برای فردی که در حال فضولی در کار شما است، چندان سخت نیست و وی خواهد فهمید که شما در رمزعبورتان از اسپیس استفاده کرده اید. پس لطفا در استفاده از ان زیاده روی نکنید. باور شماره هشت: از ترکیب کلیدهای alt‪+‬255 برای ساخت قویترین رمزعبور ممکن بهره ببرید. معمولا در بسیاری از راهنماهای ساخت رمزعبور می توانید پیشنهاد استفاده از کدهای اسکی را بیابید. بیشتر کاراکترهای اسکی به صورت عادی قابل تایپ نیستند. بلکه برای نوشتن آنها باید از کلید Alt به همراه مقدار عددی آن استفاده کرد. برای مثال ترکیب Alt‪+‬255 کاراکتر ÿ را تولید می کند. علی رغم اینکه این تکنیک در برخی موارد بسیار کاربردی است، بهتر است با برخی ایرادات آن هم آشنا شوید: اول از همه اینکه نگه داشتن کلید alt و تایپ یک عدد با صفحه عددی کیبرد می تواند به راحتی توجه بقیه را جلب کرده و توسط آنها دیده شود. دوم اینکه تولید یک کد اسکی مستلزم فشردن چهار تا پنج کلید است، که باید به خاطر سپرده شده و هر بار استفاده شوند. شاید استفاده از رمزعبوری با ۵ کاراکتر اضافی، خیلی موثرتر از استفاده از یک کد اسکی در رمزعبور باشد. زیرا می تواند به ازای همان تعداد فشردن کلید، رمزعبور بسیار قوی تر و طولانی تری در اختیار شما بگذارد. کد اسکی که با فشردن ۵ کلید تولید می شود، تنها یک کاراکتر به طول رمزعبور شما می افزاید، اما فشردن ۵ کلید جداگانه، باعث افزایش ۵ کاراکتری رمزعبور شما خواهد شد. مشکل دیگر این است که در لپ تاپ ها روشن کردن و استفاده از صفحه کلید عددی بسیار مشکل و دردسر ساز است. برخی کدهای اسکی هم در خط فرمان ویندوز و برخی برنامه ها قابل استفاده نیستند. نکته: یک رمزعبور خوب، الزاما رمزعبور پیچیده ای نیست. بلکه یک رمزعبور خوب، رمزعبوری است که حدس زدن آن سخت و به خاطر سپردنش آسان باشد. به اندازه کافی طولانی باشد. شامل حروف، اعداد و سیمبل ها باشد. همچنین تایپ آن راحت بوده و با کمترین ایراد تایپی قابل استفاده باشد. چینش آن به قدری تصادفی باشد که کامپیوتری به نظر برسد و آنقدر آشنا و واضح باشد که فقط از یک انسان بر می آید. منبع : نگهبان

دیدهایم که تا چه اندازه رمزهای عبور ضعیف، آسان هک میشوند، این در حالی است که شما میتوانید به راحتی رمزهای عبور امن را انتخاب کرده و به کار بندید. آنچه که در زیر میآید تکنیکی عالی به منظور ایجاد امنیتی بیشتر برای رمزهای عبور است. 
اگر خورهٔ ویندوز باشید، احتمالا با کلیدهای ترکیبی اعداد+Alt آشنایی دارید که کاراکترهای اسکی و یونیکد تولید میکنند. این کاراکترها در حالت عادی بر روی صفحه کلیدتان وجود ندارند.
هکرها در حملاتشان (مانند Brute Force یا درحمله لغت نامه-dictionary attacks) از این کاراکترها خیلی کم استفاده میکنند. و همین موضوع این کاراکترها را به عنوان سنگر اول دفاعی برای رمزعبور در مواجهه با حملات مبدل میکند. بسیاری از کیلاگرها توانایی ثبت کاراکترهای اسکی را ندارند، که همین باعث بی اثر کردن آنها میشود. اگر شخصی تلاش کند تا رمزعبورتان را حدس بزند و شما نیز کاراکتری اسکی در آن رمزعبور گنجانده باشید، سارقان برای حصول موفقیت بایستی دقیقا ترکیب کلید-کاراکتر را بدانند. به نوعی، کدهای اسکی به عنوان یک کد برای رمزعبور شما ایفای نقش میکنند. این سیستم چگونه کار میکند زمانی که Alt+16 را در هر متنی در ویندوز فشار دهید، سیستم عامل کاراکتر ► تولید میکند و اگر Alt+17 را بفشارید، صفحه کلید به شما کاراکتر ◄ را تحویل میدهد. امتحان کنید، notepad را باز کرده و بررسیاش کنید یا اینکه جعبه Run را باز کرده و هر ترکیبی از اعداد+Alt را امتحان کنید. من معمولا از یک کاراکتر اسکی در ابتدا و یکی نیز در انتهای رمزعبور استفاده میکنم. مثلا چیزی مانند این، ◄رمزعبور►. چند مثال از رمزعبور حاوی کد اسکی: I♥newyork = Alt + 3 ♠inthehole = Alt + 6 ♫tomyears = Alt + 14 اگرچه لازم نیست که از این کدها همواره استفاده کنید، اما برخی رمزهای عبور مهمتر از دیگر رمزها هستند. من معمولا از این کدها به عنوان بخشی از رمزعبور اصلی برای برنامههای مدیریت رمزعبور مانند Keepass و LastPass استفاده میکنم. بایستی در ایجاد رمزعبور در Keepass و دیگر برنامههای مشابه مراقب باشید، چرا که چنین برنامههایی تمام کاراکتر+Alt ها را به درستی نشان نمیدهند. بنابراین کاراکتری را برگزینید که به درستی نمایش داده میشود، تا زمانی که رمزهای عبورتان را بدون ستاره تایپ میکنید بتوانید به آنها مراجعه کنید. مزایای این روش: - بر روی تمام نسخههای ویندوز کار میکند. علاوه بر این، بر روی اکثر برنامههایی که رمزعبور نیاز دارند کارگر است. - سنگر اول دفاعی علیه کیلاگرها و حملات لغتنامه هکرها است. کاستیهای این روش: - بر روی تلفنهای همراه کار نمیکند. - در برخی موارد، شاید تشخیص دهید که بهتر است تنها چند کاراکتر را به رمزعبورتان بیافزایید. - کدهای اسکی در سیستم عاملهای مختلف به شکل متفاوتی عمل میکنند. در مک، شما بایستی از ترکیب کلید+Option که متفاوت با کد ویندوز است استفاده کنید. - کاراکترهای غیر اسکی (که میتوانند با ترکیب کلید+Alt ایجاد شوند) گاهی اوقات باعث ایجاد دردسر میشوند. با این همه، هنوز میتوانید از آنها استفاده کنید، و این کدهای غیراسکی نیز همچنان امنیتی دوچندان به رمزعبور شما میافزایند، اما از یک رمزعبور تماما غیر اسکی بایستی بیچون و چرا دوری بجویید. لیست کدهای اسکی ویندوز لیست کدهای اسکی مک منبع : نگهبان

تنها رمزعبور مطمئن، رمزعبوری است که نمی توانید به خاطر بسپارید فرض کنیم شما به وب سایت های مختلفی وارد می شوید : فیس بوک ، جی میل، کلوب، سایت های مربوط به بانک ، فروم های گفتگو ، و احتمالا بسیاری موارد دیگر. دو سوال زیر را در نظر بگیرید: • آیا همیشه رمزهای عبور منحصر به فردی ایجاد می کنید و هیچ وقت از یک رمزعبو دو بار استفاده نمی کنید؟ • آیا رمزهای عبور شما همیشه متشکل از کاراکترهای مختلف (مثلا ترکیبی از حروف بزرگ و کوچک ، اعداد و علائم) است؟ اگر نمی توانید به هر دوی این سوالات پاسخ مثبت دهید، به مشکل بر خواهید خورد. اما نکته مهم این است که هیج راهی وجود ندارد بتوان تمام رمزهای عبور قوی و منحصر به فرد را به خاطر سپرد. حال هر چه زودتر متوجه این مطلب شوید زودتر می توانید راه حل مطمئنی برای آن پیدا کنید. بگذارید ابتدا مشکل را شبیه سازی کنیم، با مثال های واقعی به شما نشان می دهیم که وقتی از رمزهای عبور تکراری و یا ضعیف استفاده می کنید، چه اتفاقی می افتد. همچنین به شما نشان می دهیم که چگونه با یک برنامه مدیریت رمزعبور خوب این مشکلات را حل کنید. حکومت ستمگرانه اکانت های متعدد بر ذهن ما "…امنیت تنها به میزان کاهش خطر بستگی دارد شما هیچ گاه به طور کامل ایمن نیستید، فقط صرفا میزان ریسک را کاهش می دهید." یک لحظه فکر کنید...شما چند حساب کاربری در اینترنت دارید؟ ۱۰ تا؟ 20 تا؟ 50 تا؟ خود من به تازگی 90 حساب مختلفم را شمرده ام و تازه خیلی از آنها را هم فراموش کرده ام. قطعا حتی با وجود 10 حساب هم هیچ راهی وجود ندارد که بتوان برای تمام آنها رمزهای عبور قوی و منحصر به فرد و قابل حفظ کردن داشت. آنچه اتفاق می افتد این است که افراد معمولا برای رمزعبور از الگوهایی متشکل از نام افراد خانواده، حیوانات خانگی، سرگرمی ها و مطالب معمول و قابل پیش بینی دیگر استفاده می کنند. این الگوها شمشیر دو لبه هستند، در عین حال که قابل حفظ کردن هستند، قابل پیش بینی هم هستند. الگوها و کلمات قابل پیش بینی بد هستند، اما چیزی که از آن ها بدتر است استفاده مجدد از یک رمزعبور است. آسان؟ بله. ایمن؟ هرگز. مشکل رمزهای عبور ضعیف اولا رمزعبور ضعیف دقیقا چیست؟ اجازه دهید این سوال را با یک روش غیر مستقیم و تمرکز بر روی رمزهای عبور قوی پاسخ دهم. یک رمزعبور قوی رمزعبوری است که بالاترین میزان انتروپی یا بی نظمی را داشته باشد. یا به اصطلاح ساده تر رمزعبوری که تا حد ممکن طولانی و تصادفی(هم از لحاظ نوع حروف هم ترتیب آنها) باشد. افراد معمولا به طرز آشکاری در بکاربردن بی نظمی کافی و ایجاد رمزهای عبور رضایت بخش بی توجه هستند. حال این مشکل را با بیان چند نمونه که اخیرا اتفاق افتاده است بیان می کنیم. اول سایت Gawker که دسامبر گذشته قربانی یک حمله بود و منجر به لو رفتن یک میلیون حساب کاربری شد را بررسی می کنیم. بدتر اینکه این حساب ها به صورت آن لاین برای همه افراد قابل مشاهده بود و هر کسی می توانست ببیند که چه افرادی با چه نام کاربری و رمزعبوری وارد سایت شده اند. و نکته جالب انتخاب رمزهای عبور نامناسب بود. به عنوان مثال: 123456, password, 12345678, qwerty, abc123, 12345, monkey, 111111, consumer, letmein, 1234, dragon, trustno1, baseball, gizmodo, whatever, superman, 1234567, sunshine, fuckyou, starwars, shadow, princess, cheese, iloveyou این 25 رمزعبور 13411 مرتبه در حساب های Gawker بکار رفته بود. فقط و فقط اولین رمزعبور یعنی 123456 بیش از دو هزار و پانصد بار بکار رفته بود. نمونه ساده دیگر حمله ای بود که ماه گذشته به سایت rootkit.com شد. طی بررسی های انجام شده، این 25 رمزعبور بیشتر استفاده شده بود: password, rootkit, 111111, 12345678, qwerty, 123456789, 123123, qwertyui, letmein, 12345, 1234, abc123, dvcfghyt, 0, r00tk1t, ìîñêâà, 1234567, 1234567890, 123, fuckyou, 11111111, 123456,master, aaaaaa, 1qaz2wsx اینها آشنا به نظر می رسند؟ بدتر این است که نام کاربری متعلق به هر کدام را نیز می توان به راحتی پیدا کرد. اما آنچه در باره هر دوی این موارد جالب است و اینکه چرا قدرت رمز عبور مهم است – تمام این رمزعبورها به صورت رمزگذاری شده در بانک اطلاعاتی ذخیره شده بودند. بدون وارد شدن در مباحث رمزگذاری ، مشکلی که در هر دو مورد وجود داشت این بود که رمزگذاری خوب انجام نشده بود. وقتی بانک اطلاعاتی سایتی مانند rootkit.com با رمزگذاری ضعیف هک می شود، هکرها می توانند با رجوع به دیکشنری رمزهای عبور معمول و مقایسه آنها با رمزهای عبور رمزگذاری شده عمل رمزگذاری را به صورت عکس انجام دهند.کار رمزگذاری ماهیتا به این صورت است که باید میلیون ها بار انجام شود، اما این کار کلا به صورت اتوماتیک انجام می شود. دیکشنری های رمزعبور و نرم افزاری که این رمزعبورها را در بانک اطلاعاتی هک شده اجرا کند ، عموما در دسترس هستند. بزرگ ترین محدودیت، قدرت پردازش مورد نیاز برای اجرای آن است، اما همانطور که همه ما می دانیم قدرت پردازش با سرعت زیادی در حال افزایش است. اما نکته ای که در اینجا مهم است، اگر رمزعبور شما با یک الگوی قابل تشخیص مطابقت داشته باشد یا اگر در دیکشنری های رمزعبور باشد و یا بر اساس اطلاعات شخصی شما (نام همسر یا فرزند) قابل حدس زدن باشد، شانس خوبی برای هکر است. اگر رمزعبور کوتاه باشد و یا به اندازه کافی کاراکترهای متغیر نداشته باشد، تعداد دفعات تست برای حدس زدن هم بسیار پایین می آید. مشکل استفاده مجدد از رمزعبور شما تا به حال متوجه شده اید که نباید از یک رمزعبور در چند جای مختلف استفاده کنید. اما اجازه دهید که برای شما توضیح دهم که چرا نباید این کار را انجام دهید. اخیرا ایمیلی دریافت کردم به این مضمون: داشتن ایمیل و رمزعبور به خطر افتاده خوب نیست.اگر این اطلاعات مربوط به یک وب سایت باشد یک دردسر است، ولی اگر این اطلاعات در حساب هایمالی، شبکه های اجتماعی و یا مخصوصا در حساب ایمیل شما مجددا بکار رفته باشد، دیگرتنها یک دردسر نیست،بلکه ترسناک است و برای جیب و اعتبار شما گران تمام می شود. چیزی که وقایع روزمره به ما نشان می دهد این است که بر اساس تحلیل داده های واقعی، میزان استفاده مجدد از یک رمزعبور به طرز اخطاردهنده ای بالا است. بی شک بیشتر این مشکلات به ضعف های امنیتی در وب سایت ها بر می گردد. ساخت یک وب سایت با نقص های امنیتی بنیادی کار بسیار ساده ای است. مشکل دیگری که در اینجا وجود دارد، این است که همه توسعه دهندگان نرم افزار این نگرش را در پیش می گیرند که اطلاعات سایت ما خیلی حساس نیست، پس امنیت برای آن زیاد مهم نیست. از آنجا که ما همگی از نام کاربری های تکراری استفاده می کنیم، و معمولا این نام کاربری همان آدرس ایمیل است، بنابراین انتخاب های زیادی وجود ندارد. و به سادگی با استفاده از نام کاربری و رمزعبور یک حساب کاربری لو رفته، تا حساب کاربری بعدی آن فرد راه کوتاهی وجود دارد. هک حساب های کاربری افراد در سایت های مختلف چقدر رواج دارد؟ Gawker ، rootkit.com نمونه های جدیدی هستند، اما بسیاری نمونه های دیگر هم وجود دارد. در مورد دست یابی آن لاین احتمالا نام سایت Plenty of Fish را شنیده اید. خیلی جذاب و خوش ظاهر به نظر می رسد؟ سایت انگلیسی آنها اوایل امسال مورد هدف قرار گرفت. فعالیت های بدخواهانه کامپیوتری و اغلب بدون تبعیض هستند. ما در حال حاضر 50 میلیون ویروس داریم و تنها سال گذشته 20 میلیون از آنها به افراد حمله کردند. این نکات را برای ترساندن شما عنوان نمی کنیم. بلکه به این دلیل که بدانید چقدر این مسائل معمول است. این مسائل هنگامی اهمیت پیدا می کنند که پای اطلاعات مالی و اعتباری شما در میان باشد. البته بخشی از آن به خاطر گردانندگان وب سایت ها است که حتی نمی داند این اطلاعات چه هستند. اسطوره رمزهای عبور ایمن در درجه نخست لغت ایمن اغلب به عنوان یک اصطلاح مطلق عنوان می شود. ولی اینگونه نیست. تنها کافیست به ویروس Stuxnet نگاهی بیندازیم. کامپیوترهای سانتریفیوژهای تجهیزات هسته ای برخی کشورها از سوی این ویروس با موفقیت مورد حمله قرار گرفته و ارتباط شان به طور کلی با اینترنت قطع شد. به طور حتم این کامپیوترها با در نظر گرفتن تعریف متعارف "ایمن" تلقی می شدند. مثل این است که بگوییم یک اتومبیل "ایمن" است. برخی بهتر از بقیه هستند، ولی در نهایت همگی تمرین ریسک هستند. شما بر سر امنیت معامله می کنید. مثلا با میزان سادگی رمزعبور و یا قیمت پرداختی برای یک اتومبیل و در مقابل امکانات بهتری دریافت می کنید مثل زمان بیشتر برای لو رفتن رمزعبور یا ایربگ (کیسه هوا) و تجهیزات ایمنی بیشتر در اتومبیل. در اینجا نظر افراد مختلف در ایجاد و به یاد سپاری رمزهای عبور ایمن را می بینیم: * واقعا؟آیا می توانید تصور کنید که چندین دوجین رمزعبور از نوع "من ساندویچ دوست دارم" را حفظ کنید؟ به یاد داشته باشید که شما باید اصطلاح مورد نظر و اینکه چه حروفی در آن به کار برده اید و اینکه کدام یک را در کدام سایت استفاده کرده اید را به خاطر بسپارید. * به علاوه کل ایده رمزهای عبور قوی، پرهیز از استفاده از رمزهای عبور قابل پیش بینی است. آیا جایگزین کردن"@" به جای "a" یا "3" به جای "e" واقعا شر آدم های بد را کم می کند؟ استفاده از حروف جایگزین لایه امنیتی ضعیفی است که همه این کلک را شنیده اند. (در واقع دیکشنری رمزعبورها که قبلا به آن اشاره کردیم شامل بسیاری از این جایگزینی ها در رمزعبورها است. در آنجا شما نمونه هایی مانند “s@yg00dbye” و “s0ccrRul3s” می بینید.) * نوشتن رمزعبورها بر روی کاغذ نیز فایده ای ندارد. زیرا تعداد آنها زیاد است و باید همراه هر کدام نام سایت مربوط به آن را نیز یادداشت کنید.و این یعنی شما همه چیز را برای سارقان / بچه ها / و مهمانان فضول مهیا کرده اید. مشکل دیگری که در مورد نوشتن رمزعبورها وجود دارد این است که این روزها از مکان های مختلفی مثل کامپیوتر شخصی خانه، کامپیوتر شخصی محل کار و دستگاههای موبایل وارد حساب هایمان می شویم. عملا ما نمی توانیم کلید ورود به دنیای آن لاین خود را در کشوی یک میز محبوس کنیم و باید آن را همیشه به همراه داشته باشیم. این برای بسیاری از افراد دردسری بزرگ است. و نکته آخر این که وارد کردن مداوم رمزعبور قوی و طولانی برای هر بار ورود بسیار خسته کننده است. به خاطر داشته باشید که رمزعبور قوی، بسیار طولانی و کاملا رندم است و اینها دقیقا چیزهایی است که باعث می شود تایپ دستی آنها خسته کننده و پر خطا باشد. خوب چطور است که آنها را در یک فایل متنی در یک سیستم مثل outlook ذخیره کنیم؟ اما از آنجا که دزدیده شدن آنها بسیار ساده است و وقتی این اتفاق بیفتد چون رمزگذاری نشده اند به راحتی باز می شوند، در این صورت به طرز نا خوشایندی در معرض خطر قرار می گیرید. رها شدن از رمزعبورها در عمل این کار غیر ممکن به نظر می رسد. چگونه امکان دارد که شما بدون به خاطر سپردن رمزعبورها وارد وب سایت های مختلف شوید؟ برای این کار به یک سیستم مدیریت رمزعبور اختصاصی نیاز دارید. در حال حاضر راه حل عملی و مطمئن دیگری غیر از این وجود ندارد. خوشبختانه ابزارهایی منحصرا برای این کار وجود دارند. برای مثال LastPass ، KeePass و 1Password جزو برنامه های خیلی خوب مدیریت رمزهای عبور هستند. این ابزارها به شما امکان می دهند که تمام رمزهای عبور خود را در یک مکان با رمزگذاری قوی ذخیره کنید. البته برای باز کردن فایل رمز شده به یک رمزعبور اصلی نیاز دارید. اما همانطور که نام 2 تا از این ابزارها بیان می کند فقط نیاز دارید که یک رمزعبور و نه همه رمزهای عبورتان را حفظ کنید. خوب اینجا نکته مهمی وجود دارد: رمزعبور اصلی برنامه باید یک رمزعبور بسیار قوی باشد. اگر می خواهید کلید تمام وب سایت هایتان را تنها در یک رمزعبور قرار دهید، باید تاریخ تولد و اسامی کودکان و ساندویچ ها را فراموش کنید و این بار واقعا به چیز بهتری نیاز دارید. قبلا در نگهبان برنامه LastPass را معرفی کرده بودیم. در اینجا به معرفی برنامه 1Password خواهیم پرداخت. با LastPass، فرماندهی رمزهای عبور را در دست بگیرید روش کار با 1Password با اجرای 1Password به شما نشان می دهم هنگامی که به روش سنتی وارد یک وب سایت می شوم چه اتفاقی رخ می دهد. برای مثال می خواهم وارد سایت Slashdot شوم و این پروسه تقریبا برای تمام سایت های دیگر به همین شکل است. ما با نام کاربری و رمز عبور معمول شروع می کنیم: اما بعد از اینکه دکمه “Log In” را کلیک می کنم 1Password پیشنهاد می کند که اطلاعات را ذخیره کند. نامی که برای این اطلاعات در نظر گرفته می شود به صورت پیش فرض آدرس صفحه است، اما هر زمان که بخواهم می توانم این نام را تغییر دهم. هر گاه که دکمه “Save” را کلیک کنم ، 1Password از من رمزعبور اصلی را می خواهد که این رمز، رمزعبوری است که برای مدیریت تمام رمزهای عبور دیگر مورد نیاز است. این رمزعبور یک رمزعبور قوی است که باید به خاطر بسپارم. در حقیقت این تنها رمزعبوری است که باید حفظ کنم پس مطمئنا چیزی مانند “Iloves@ndwich3s” نخواهد بود. پس ذخیره این اطلاعات در 1Password از Slashdot خارج می شوم و دوباره وارد می شوم. اما این بار به جای وارد کردن اطلاعات در صفحه ورود، بر روی آیکون کلید کوچکی که در سمت راست نوار آدرس مرورگر قرار دارد کلیک می کنم : حال دوباره از من رمزعبور اصلی پرسیده می شود – تنها رمزعبوری که باید حفظ باشم. بعد از وارد کردن آن می توانم اطلاعاتی را که قبلا ذخیره کرده بودم ببینم: من می توانم در این جا چندین مورد اطلاعات ورود داشته باشم (شما ممکن است بیش از یک حساب در یک سایت خاص داشته باشید.) حال بر روی اطلاعات اکانت مورد نظر دو بار کلیک می کنم. و تمام شد – وارد سایت شدیم. زیبایی این روش این است که برای همه سایت ها شبیه به هم است. دیگر نیازی نیست که تمام آن ۹۰ رمزعبور را حفظ باشم. شما همچنین می توانید از طریق مرورگرهای مختلف این کار را انجام دهید. من از گوگل کروم استفاده کردم اما 1Password با مرورگرهای دیگر نیز کار می کند. ایمن شدن البته این زمان خوبی است که رمزهای عبور خود را یک خانه تکانی کنید و 1Password به آسانی این کار را انجام می دهد. وقتی من کار را شروع کردم هر بار که به یک رمزعبور ضعیف برخورد می کردم به برنامه 1Pasword می رفتم و حساب کاربری را که ساخته بودم باز می کردم و یک رمزعبور جدید برای آن ایجاد می کردم. رمزعبوری که وان پسورد ایجاد می کند یک رمزعبور ایمن است. اما اگر به اندازه کافی آسان نیست که بتوانید آن را حفظ کنید، نگران نباشید زیرا تنها چیزی که باید حفظ کنید رمزعبور اصلی نرم افزار است. خوب این کار رمزعبور شما را بر روی سایت موردنظر تغییر نمی دهد و تنها رمزعبوری را که در 1Pasword ذخیره کرده اید تغییر می دهد. برای ثبت این رمزعبور جدید در وب سایت باید آن را کپی کرده و به سایت مورد نظر رفته و آن را ثبت کنید. همراه داشتن رمزهای عبور چیزی که برای من مهم بود این بود که از هر مکانی و از هر دستگاهی و در هر زمانی می توانم به رمزهای عبورم دسترسی داشته باشم .کامپیوتر شخصی، کامپیوتر محل کار، آی پد و آیفون همگی می توانند همگام شوند. 1Passowrd به شما این امکان را می دهد که با استفاده از سرویس همگام سازی فایل Dropbox این کار را انجام دهید. این محصول بسیار قدرتمند بوده و به آسانی برای همکام سازی فایل های 1Password پیکربندی می شود. و در آخر اینکه ، این بدان معنی است که تمام کامپیوترهای شخصی من دارای یک فایل رمزعبور ایمن یکسان بوده و آیپد و آیفون نیز به ترتیب برنامه کوچکی مثل این دارند: آیا قرار دادن فایل رمزعبور به صورت آن لاین خطرناک نیست؟ خوب تا حدودی خطر وجود دارد، اما سرویس Dropbox در طول چند سال ایمنی خود را به اثبات رسانده است. و البته فایل 1Password نیز به طور ایمنی رمزگذاری شده و حتی اگر کسی فایل را بدست آورد، باز هم برای گشودن آن به رمزعبور اصلی نیاز دارد. در واقع ضعیف ترین پل ارتباطی، رمزعبوری است که احتمالا بر روی حساب Dropbox گذاشته اید که احتمالا با این تفاصیل آن را هم قوی انتخاب می کنید آیا این همه تخم مرغ در یک سبد زیاد نیست؟ بله همین طور است ولی این سبد بسیار خوب و محکم و مطمئن طراحی شده است. یک نفر باید ابتدا فایل رمزهای عبور شما را داشته باشد و بعد از آن برای باز کردن آن باید رمزعبور اصلی را داشته باشد.که هیچ یک از اینها اتفاق نمی افتد. در حالیکه داشتن تمام اطلاعات حساب های مختلف در یک جا بی شک خوب نیست، اما خطر ان در مقایسه با لو رفتن آن از طریق وب سایت بسیار ناچیز است. البته خطر دیگر این است که شاید در 1Password یک آسیب پذیری ناشناخته پیدا شود. قطعا آسیب پذیری که ما آن را آسیب پذیری روز صفر می گوییم (چیزی که هنوز شناخته شده نیست ) امکان پذیر است. در واقع یک مورد از آن ماه گذشته در LastPass پیدا شد و طی چند ساعت آن را بر طرف کردند. و این نکته ای است که در محصولات حرفه ای این عصر وجود دارد. تمام موجودیت آنها در ارائه یک راه حل ایمن جمع شده است و اگر یک آسیب پذیری و راه نفوذ پیدا شود، می توانید مطمئن باشید که به سرعت از بین می رود. نتیجه بسیار خوب حالا که تمام این موارد فوق امنیتی را یاد گرفتید بسیار شکست نا پذیر شده اید درست است؟ و این مرا به یک نتیجه گیری فلسفی می رساند. امنیت چیزی نیست جز کاهش خطر! شما هیچ گاه به طور کامل ایمن نیستید. بلکه تنها خطر را کاهش می دهید. خطر قرار داشتن اطلاعات شما در یک سایت بسیار ایمن به طور قابل توجهی از قرار دادن آنها در فایل 1Password بیشتر است. اما گذشته از مسئله امنیتی، برنامه مدیریت رمزعبور یک روش بسیار خوب و کارامد است. در دسترس داشتن تمامی حساب ها بر روی تمامی دستگاهها و امکان ورود راحت با رمزهای عبور بسیار قوی گزبنه کاملا مناسبی است. و سر انجام وقتی زمانی برسد که متوجه شوید یکی از رمزهای عبور شما بر روی یکی از سایتها لو رفته است (و مطمئن باشید که این اتفاق خواهد افتاد) آن زمان دیگر برای فکر کردن به امنیت رمزعبور خیلی دیر است. پس چند ساعت وقت بگذارید و به وضع خود سر و سامان دهید. منبع : نگهبان | امنیت به زبان ساده