آموزشامنیت در اینترنت

پاد اوسینت ۵: آموزش حفظ امنیت اکانت گوگل

چگونه یک اکانت جیمیل امن و مطمئن در گوگل داشته باشیم؟!

در مقالات قبلی پاد اوسینت و حریم خصوصی، درباره روشهای بالا بردن امنیت اکانت و چگونگی حفظ امنیت در فضای سایبری صحبت کردیم. به عنوان اولین و (اساسی ترین!) قدم برای امن کردن اکانت هم، روشی کاربردی برای ایجاد رمز عبور قوی را آموزش دادیم. در این گزارش، یک قدم جلوتر می‌رویم و به طور خاص به اکانت گوگل و روش‌های حفظ امنیت آن می‌پردازیم.

چرا امنیت اکانت گوگل خیلی مهم است؟!

برای بسیاری از ما، اکانت گوگلمان (یا به تعبیر عامیانه همان جیمیل) تمام زندگیمان است! این اکانت‌ها معمولا برای ثبت‌نام در سامانه‌های دولتی، ساخت حساب بانکی، ثبت نام در دانشگاه، ثبت نام در بورس و به طور کلی همه جا(!) استفاده می‌شوند. تمام سرویس‌های گوگل روی این حساب‌ها متمرکز هستند. در Google My Activity تمام سرچهای شما ثبت می‌شود. Google Map اطلاعات سفرهایتان را ذخیره می‌کند. Google Contacts از مخاطبانتان نگهداری می‌کند و Google Drive از فایلهایتان…

بماند سایت‌های مختلفی هم که به خاطر تنبلی برای ساختن حساب کاربری در آنها از طریق جیمیل در آنها لاگین کرده‌اید، در اکانت گوگل قابل دسترسی هستند و … بر این اساس، این اکانت‌ها معمولا حاوی اطلاعات حیاتی درباره ما هستند و مرجع کاملی از سوابق، ارتباطات و اطلاعات شخصی ما هستند! حالا در این شرایط تصور کنید اکانتی به این مهمی، از دسترستان خارج شود…! وحشتناک نیست…؟!

به این ترتیب حفظ حریم خصوصی اکانت گوگل اهمیت بالایی دارد. اما چگونه باید امنیت جیمیل را بالا ببریم؟ این راهنما قصد دارد به صورت مرحله به مرحله گزینه‌های معمول امن کردن اکانت گوگل را برایتان توضیح دهد تا خیالتان بابت از دست رفتن اطلاعات توسط هکرها راحت شود. لذا توصیه میکنیم حتما با این گزارش همراه شوید؛ چون سارقان اطلاعات از آنچه می‌پندارید به شما نزدیکترند…!

بررسی تنظیمات امنیت اکانت گوگل

در قدم اول، برای دسترسی به تنظیمات امنیت گوگل، باید وارد بخش مدیریت اکانت خود شوید. برای این کار یا می‌توانید از طریق این لینک اقدام کنید، یا در یک صفحه‌ی اول گوگل، اکانت خود را انتخاب و روی گزینه manage your google account کلیک کنید تا وارد صفحه مدیریت جیمیل شوید و پس از آن، زبانه‌ی Security را انتخاب کنید. در اینجا می‌توانید گزینه‌ها و نکات مختلف امنیتی گوگل را مشاهده کنید.

تنظیمات امنیت اکانت گوگل
ورود به مدیریت تنظیمات حساب کاربری گوگل

بگذارید از همان ابتدا شروع کنیم:

برای آموزش این مطلب یک اکانت تقریبا معمولی از لحاظ حفظ امنیت را ایجاد کردیم و عکس‌ها از همین اکانت انتخاب شده‌اند. البته توجه داشته باشید که این اکانت به هیچ عنوان یک اکانت شخصی نیست. هیچ ایمیل مهمی هم از هیچ فرد مهمی دریافت نمی‌کند. لذا مشکلات آن و حتی دسترسی خارجی به اطلاعات این اکانت مشکل خاصی برای ما و حریم خصوصیمان ایجاد نمی‌کند. اما در حال حاضر حجم بسیار زیادی از اکانت‌های شخصی افراد، دارای وضعیت مشابه و بعضاً بسیار ضعیف‌تر‌ است… حتی شاید اکانت شما، دوست عزیز…!

در نخستین قسمت، گوگل اصلی‌ترین مشکلات امنیتی که در حال حاضر برای اکانت‌ گوگلتان وجود دارد را یک‌جا جمع کرده است. برای مثال در اکانتی که برای این بررسی انتخاب کردیم، چندین مشکل امنیتی وجود داشت. اگر روی گزینه‌ی secure account کلیک کنید، گوگل شما را به یک صفحه‌ی ساده و خالی هدایت می‌کند. در این صفحه اولین چیزی که مشاهده می‌کنید، تعداد مشکلات امنیتی اکانت است.

تنظیمات امنیتی اکانت گوگل
ورود به بخشی تنظیمات امنیت اکانت گوگل
گوگل در این قسمت، اصلی‌ترین موارد را به صورت جزئی بررسی کرده است. همانطور که در تصویر نیز مشخص است، در این اکانت تقریبا تمام موارد با یک تیک سبز همراه هستند. اما معنای این گزینه‌ها چیست؟ تعداد مشکلات امنیتی اکانتی که در این بررسی استفاده شد.
گزینه‌های اصلی که گوگل بررسی می‌کند.
گزینه‌های اصلی که گوگل بررسی می‌کند.

Third-party access

 گزینه‌ی اول اعلام می‌کند که چه نرم‌افزارهای دیگری – به جز سرویس‌های خود گوگل – به این اکانت دسترسی دارند. به طور مثال این تصویر نشان می‌دهد که چندین سرویس خارجی به این اکانت دسترسی دارند. این مورد می‌تواند مربوط به ایمیل شرکتی باشد که چندین سرویس خارجی (مدیر عامل، معاون و منشی) به آن دسترسی داشته باشند. در صورتی که روی گزینه کلیک کنید، تک‌تک نرم‌افزارهای دارای دسترسی به اکانتتان را نشان می‌دهد. مثلاً، موردی که در تصویر زیر نشان داده شده، مربوط به یک سرویس خارجی است که به محتویات Google docs (ابزار ورد، پاورپوینت و دیگر مواردی که گوگل به صورت آنلاین و رایگان در اختیارتان می‌گذارد) دسترسی دارد.

در صورتی که مایل نبودید این سرویس به حساب گوگل شما دسترسی داشته باشد، می‌توانید این دسترسی را با Remove access قطع کنید.

"یکی

توجه داشته باشید در صورتی که وضعیت اکانت شخصی شما همانند این مورد آموزشی است و دسترسی‌هایی غیر از خودتان به اکانت وجود دارد، زنگ خطری جدی برایتان به صدا در آمده است! خصوصا اگر این دسترسی‌ها از سرویس‌ها یا دستگاه‌هایی غیر از دستگاه‌های شخصی شما هستند…

Your Devices

دومین گزینه تنظیمات امنیتی گوگل، دستگاه‌هایی را که در حال حاضر به این اکانت دسترسی دارند اعلام می‌کند. برای مثال در اکانت مورد بررسی در این آموزش، صرفا یک دستگاه به این اکانت دسترسی دارد که همین سیستمی است که در حال تهیه این آموزش با آن هستیم. پس جای نگرانی نیست.

"لیست

اما شما به دقت این بخش را بررسی کنید. در صورتی که دستگاهی را نمی‌شناسید، حتما آن را از دسترس خارج کنید. در صورتی که هر دستگاه دیگری به اکانت متصل شده باشد، یک گزینه‌ی Remove یا Sign out در کنار آن دستگاه مشاهده خواهید کرد.

"همان

Recents Security Events

در این قسمت، تمام رخدادهای مهم امنیتی مربوط به حساب کاربری شما در گذشته‌ی نزدیک نشان می‌شود. این موارد شامل ورود (Login) به اکانت، استفاده از روشهای ورود دومرحله‌ای، تغییرات گزینه‌های امنیتی اکانت و … است.

برای مثال به تصویر زیر توجه کنید. در این تصویر سه فعالیت صورت گرفته لیست شده‌اند. مورد اول مربوط به استفاده از یکی از گزینه‌های ورود دو مرحله‌ای (در این مثال استفاده از کدهای یکبار مصرف) است. مورد دوم درباره لاگین در اکانت با یک دستگاه جدید و سومین مورد هم به خاطر ایجاد کدهای یک‌بار مصرف جدید برای جایگزین کردن کدهای مصرف شده است.

نکته‌ای که در این لیست اهمیت دارد و باید مورد توجه قرار دهید این است که همه این تحولات باید توسط خودتان صورت گرفته باشد. در این تصویر تمام فعالیت‌ها را توسط خودِ ما انجام شده است. اما در صورتی که در اکانت شما، موردی وجود دارد که خودتان انجام ندادید، باید گزینه‌های امنیتی ورود به اکانت خود را بررسی کنید. برای این منظور، با کلیک بر روی «Don’t recognize an event?» می‌توانید گزینه و توصیه‌هایی که گوگل در اختیارتان گذاشته را مشاهده و اجرا کنید. (مثلا در این مثال، گوگل توصیه به تغییر رمز عبور میکند)

"فعالیت‌های "8

Two step verification

بخشی دیگر در صفحه تنظیمات امنیتی اکانت گوگل، مربوط به گزینه‌های مختلف «تأیید هویت دو عاملی» است.

تایید هویت دوعاملی یا دو مرحله ای در واقع روشی برای کاهش احتمال هک اکانت است. مدل کلی این روش به این صورت است که هر کس (شما یا هکر نامحترم!) که بخواهد در اکانت لاگین کند، باید از طریق یک دستگاه شناخته شده و تایید شده دیگر (مثلا موبایل شما) مجوز و تاییده ورود بگیرد. مثلا درمورد گوگل برای هربار لاگین، پس از آنکه رمز عبور خود را وارد کنید، گوگل پیامکی حاوی یک کد یکبار مصرف نیز به تلفن شما ارسال میکند و پس از وارد کردن آن میتوانید به حساب خود وارد شوید.

برای اکانت مورد بررسی در این گزارش، ما یک گزینه را فعال کرده‌ایم. البته امکانات مختلفی در این قسمت وجود دارد که بر اساس نیاز خودتان می‌توانید هر کدام را فعال کنید. در این قسمت اطلاعات مختلف راجع به این گزینه‌ی تأیید هویت دو عاملی نیز مشاهده می‌شود.

Password Checkup

 آخرین گزینه مربوط به پسوردهای اکانت های مختلفی است که با حساب کاربری گوگل خود همگام (Sync) کرده‌اید. گوگل امکان بررسی تک تک این پسوردها را برای اطمینان از امنیت‌شان و لو نرفتن پسوردها فراهم کرده است. برای مثال، در این اکانت ۲۰ پسورد ذخیره شده وجود دارد.

"بررسی

بعد از کلیک روی این گزینه، صفحه‌ی بعد گوگل اعلام می‌کند که امکان بررسی پسوردها را دارد اما پیش از انجام این عمل، باید هویت شما تاثیید شود. با کلیک بر روی Check passwords باید اول با رمز عبور خود مجدداً وارد گوگل شوید.

صفحه‌ی مربوط به بررسی پسوردها
صفحه‌ی مربوط به بررسی پسوردها

در مرحله‌ی بعد می‌توانید تمام نکات مربوط به پسوردهای ذخیره شده در اکانت را مشاهده کنید. در این اکانت، هیچ مشکلی در مورد پسوردها وجود نداشت. به این معنی که تمام نکاتی که در آموزش مربوط به انتخاب پسورد گفته شده بود، رعایت شده بودند!

تمام پسوردهای این اکانت امن بودند و مشکلی نداشتند
تمام پسوردهای این اکانت امن بودند و مشکلی نداشتند.

در این مرحله، گزینه‌های امنیتی مربوط به این اکانت بررسی شدند. برای بازگشت به منوی قبلی، روی «Continue to your Google Account» کلیک کنید.

بررسی راه‌های ورود به اکانت

حال زمان بررسی راه‌های ورود به اکانت رسیده است. در این قسمت می‌توانید پسورد خود را عوض کنید، گزینه‌های مربوط به تأیید هویت دو عاملی را فعال یا غیر فعال کنید. همچنین امکان ورود به حساب گوگل را از طریق سایر نرم‌افزارها فراهم کنید. در تصویر زیر، می‌توان آخرین زمان تغییر رمز عبور را مشاهده کرد. علاوه بر آن، امکان بررسی فعال یا غیرفعال بودن تأیید هویت دو عاملی نیز قابل مشاهده است.

گزینه‌های مربوط به لاگین در گوگل
گزینه‌های مربوط به لاگین در گوگل

تغییر پسورد اکانت

با کلیک بر روی Password، میتوانید رمز عبور خود را تغییر دهید. در صورتی که روی این گزینه کلیک کنید، گوگل از شما می‌خواهد که دوباره وارد اکانت شوید. پس از آن به صفحه‌ی جدیدی منتقل می‌شوید که در آن باید پسورد جدید را وارد کنید. توجه کنید که خود گوگل بالای صفحه نکاتی راجع به انتخاب پسورد مناسب اعلام کرده است. این نکات بخشی از همان مواردی هستند که در پاداوسینت های قبلی به آنها اشاره کردیم.

در مجموع توصیه می‌کنیم هر سه-چهار ماه رمز عبور خود را تغییر دهید. این باعث می‌شود اگر جایی هم سهواً دسترسی غیرمجازی به اکاتتان برقرار شده است، از بین برود. (اگر این کار برایتان خیلی سخت جلوه میکند و نمیدانید این پسورد ها را چطور حفظ کنید پاداوسینت ۴ را بخوانید!)

برای این اکانت، ما یک پسورد خوب و طولانی را وارد کرده‌ایم. گوگل هم آن را Strong اعلام کرد. و به این معنا که پسورد وارد شده، مناسب است.

صفحه‌ی مربوط به تعیین پسورد.
صفحه‌ی مربوط به تعیین پسورد.
پس از تغییر پسورد، به صفحه‌ی مدیریت اکانت بازخواهید گشت. در این صفحه تاریخ تغییر پسورد را مشاهده خواهید کرد.

تعیین هویت دو مرحله ای

گزینه‌ی بعدی مربوط به تعیین هویت دوعاملی (Two step verification) است. فعال کردن این گزینه، اکانت شما را به شدت امن می‌کند. توصیه می‌کنیم حتی برای اکانت‌هایی که خیلی مهم نیستند، حداقل یک مورد از این موارد را فعال کنید.

در هر حال گوگل  پیش از هر مورد دیگری در بالای صفحه اعلام می‌کند که آیا تأیید هویت دو عاملی فعال است یا خیر؟ در اکانتی که برای نمایش این موضوع استفاده شده، این قابلیت فعال است.

توضیحات گوگل مربوط به تأیید هویت دوعاملی و تاریخ فعال سازی آن
توضیحات گوگل مربوط به تأیید هویت دوعاملی و تاریخ فعال سازی آن

قسمت بعد که با Available second steps مشخص شده، گزینه‌های فعال شده را در خود دارد. در این قسمت امکان فعال‌سازی یا غیرفعال‌سازی هر گزینه را در کنار تغییر اطلاعات مربوط به آن در اختیار دارید. برای مثال در اکانت مربوط به این تصویر، ۴ امکان مختلف برای تأیید هویت دو عاملی تعریف شده است. به این ترتیب در صورت در دسترس نبودن هر کدام از این موارد (مثلا در دسترس نبودن تلفن همراه)، یک راه جایگزین برای تأیید اکانت وجود دارد. توجه کنید که برای تغییر یا حذف هر گزینه باید روی علامت مداد یا سطل زباله مقابل هر گزینه کلیک کنید.

اگر شما یک کاربر با سطح امنیتی معمولی هستید فعال کردن گزینه‌های Google prompts و Authenticator app به دلیل سادگی و سرعتشان یک عمل ساده و لازم است پس در انجام آن کوتاهی نکنید.

برای این کار نیاز به یک تلفن همراه هوشمند دارید و برای استفاده از این مورد نیز باید تلفن همواره در دسترس‌تان باشد.
گزینه‌های فعال شده برای تأیید هویت دوعاملی
گزینه‌های فعال شده برای تأیید هویت دوعاملی

در صورتی که یک کلید فیزیکی تأیید هویت (مثل Yubikey) در اختیار دارید، می‌توانید از Security Key هم استفاده کنید. استفاده از این گزینه، مثل نسبت دادن یک کلید واقعی (مثل کلید در خانه) به اکانت گوگل شماست. بدین معنا که برای لاگین کردن در اکانت، باید کلید مذکور را وارد پورت usb کنید. این به واقع حداکثر امنیتی که می‌توانید از یک اکانت انتظار داشته باشید!

کلید فیزیکی تایید هویت yubikey
نمونه کلید فیزیکی تایید هویت yubikey

در انتهای صفحه ذیل «Devices that don’t need a second step» می‌توانید تمام دستگاه‌هایی که نیاز به استفاده از تأیید هویت دو عاملی ندارند را مشاهده کرده و در صورت عدم اعتماد، آنها را حذف کنید.

App passwords

در نهایت در قسمت App passwords می‌توانید به سایر نرم‌افزارهای غیر گوگلی خود اجازه دسترسی به حساب جیمیل و گوگل تان را بدهید. معمولا نرم‌افزارهایی مثل outlook و thunderbird این نوع دسترسی را لازم دارند. برای مثال به تصویر زیر توجه کنید. در این تصویر چنین دسترسی‌ای را برای دو نرم‌افزار تأیید کرده‌ایم. مجدد ذکر میکنم در صورتی که هر نرم‌افزار ناشناس یا ناامنی را در این لیست مشاهده کردید، حتما با کلیک روی علامت سطل زباله این دسترسی را حذف کنید!

اپ‌های مختلفی که به اکانت گوگل دسترسی دارند
اپ‌های مختلفی که به اکانت گوگل دسترسی دارند

تنظیمات راه های بازیابی اکانت گوگل و جیمیل

قسمت بعد، راه‌های بازیابی اکانت شما را در خود دارد. در اینجا، می‌توانید یک یا چند شماره‌ی تلفن یا ایمیل بازیابی به اکانت گوگل تخصیص دهید. اگر اکانت برایتان خیلی مهم است، حتما چند ایمیل و شماره‌ی تماسی که در دسترستان هست را به آن بدهید و سرسری از کنار این موضوع عبور نکنید! برای مثال در این اکانت از یک شماره و یک ایمیل استفاده شده است.

گزینه‌های امنیتی اکانتی که در این مثال استفاده کردیم.
گزینه‌های امنیتی اکانتی که در این مثال استفاده کردیم

بخش‌های بعدی شامل «Recent security events»، «Your devices» و «Third-party apps with account access» است که آنها را پیش‌تر با جزئیات توضیح دادیم.

سایر تنظیمات امنیتی گوگل

در انتها نیز سایر اطلاعات مربوط به اکانت شامل پسوردها، سایر سایت‌هایی که برای ورود به آن‌ها از گوگل استفاده کردیم و سایر اکانت‌های متصل به این اکانت جیمیل نمایش داده می‌شود. در صورتی که هر کدام از این موارد را نمی‌شناسید، حتما گزینه‌ی مربوطه را بررسی کنید. مثلا اگر از اکانت گوگل برای بازیابی هیچ اکانتی استفاده نکرده‌اید، یا هیچ نرم‌افزار یا اپلیکیشینی را به اکانت گوگل متصل نکرده‌اید ولی در اینجا مواردی را مشاهده می‌کنید، حتما این موضوع را بررسی کنید…!

"سایر

جمع‌بندی: «گوگل امن است، اما خودکرده را تدبیر نیست!»

در این مقاله تمام موارد ذیل تب امنیت حساب کاربری گوگل را مورد بررسی قرار دادیم. مجدداً توصیه و تاکید می‌کنیم تک‌تک این موارد را در اکانت خودتان بررسی کنید. اگر چیزی را مشاهده می‌کنید که نمی‌شناسید، حتما دسترسی آن را از اکانت خود حذف کنید.

البته توجه کنید که گوگل به طور کلی بستر بسیار امنی است؛ اما امنیت اکانت شما، صرفاً به خود گوگل وابسته نیست! خود شما نیز باید مراقب اکانت، اطلاعات و حریم خصوصی خود باشید. در صورتی که خودتان اطلاعات خودتان را جایی لو داده باشید (مثلا از طریق مهندسی اجتماعی) یا از نرم‌افزارهای ناامن و سایت‌های غیرمطمئن استفاده کرده باشید، مهم نیست که گوگل چقدر سفت و محکم امنیت شما را حفظ کند، اطلاعاتتان به احتمال زیاد خود به خود لو خواهد رفت…

برچسب ها

brightness intrested

زندگی من در 3 کلمه: مطالعه، گشتن و فکر کردن...! و اوسینت به طرز عجیبی هر سه تای این‌ها رو یه جا جمع می کنه. پس فعلا اوسینت کارم!

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *