پاد اوسینت ۳: آموزش کاربردی ساخت پسورد خوب و قوی
ّرای امن کردن اکانت چه رمز عبوری انتخاب کنیم؟
چطور امنیت اکانت هایمان را بالا ببریم؟ چه کنیم تا حساب های بانکی مان کاملا تحت کنترل خودمان باشد و دیگران نتوانند از طریق اینترنت بانک از حساب ما برداشت کنند؟! چطور اکانت اینستاگرام خود را امن کنیم تا هکر ها حیثیت ما را پیش 400هزار فالورمان نبرند؟! چطور مانع از هک شدن اکانت تلگرام خود که در آن تمام صحبتهای شخصیمان با دوستان و آشنایان قرار دارد شویم؟ و هزار چه کنیم و چطور دیگر!
پاسخ به تمام این سوالها، امن کردن اکانت است و ما قصد داریم در سری پستهای «پاد اوسینت» پاسخ به این سوالات و برخی نکات اساسی برای امنیت در فضای مجازی را مرور کنیم. چرا که همان قدر که اوسینت (OSINT) کردن ارزشمند است، اوسینت نشدن ضروری و حیاتی است!!
پیش تر هم بحثی را درباره اصول امنیت و حریم خصوصی در فضای مجازی آغاز کرده بودیم. اما اینبار اجازه دهید ابتداً بررسی کنیم «اکانت امن» چه اکانتی است و چه ویژگیهایی دارد؟ سپس به عنوان اولین گام، نکاتی را درباره پسورد (Password) مرور خواهیم کرد.
اکانت امن چگونه است؟
درِ خانهی همهی ما قفل و کلید دارد. خودروهایمان هم همینطور. ویژگی اصلی این قفل و کلیدها این است که یکتا هستند. یعنی فقط یک کلید به قفل میخورد و این تضمین میکند که این خودرو یا خانه فقط برای من است و هیچ دزدی نمیتواند وارد آن شود (إنشاءا…!).
مشابه همین قفل و کلید برای همهی اکانتهای ما وجود دارد. با این تفاوت که کلید این قفلها را خودمان میسازیم.
در اینترنت، یکی از سادهترین این قفلها، رمزعبور یا پسورد اکانتهاست. پس ساده ترین قدم برای اینکه اکانت امنی داشته باشید، توصیه میشود که پسورد خوبی انتخاب کنید. اما یک پسورد خوب چه پسوردی است؟
به طور کلی پسورد خوب دو ویژگی دارد: اول اینکه «قابل حدس زدن نباشد» و دوم «توسط دیگران هم زیاد استفاده نشده باشد». اما بگذارید این دو مورد را کمی بررسی کنیم:
1. چرا پسورد نباید قابل حدس زدن باشد؟!
اگر این واقعا چنین سوالی دارید، اجازه دهید خیلی صاف و شفاف بگوییم که در سایت اشتباهی هستید. به فیلیمو مراجعه کنید و وقت خود را آنجا سپری کنید بهتر است…!
اما گذشته از شوخی، علت این امر واضح است. اگر من بدانم اکانت شما در اینستاگرام چیست و بتوانم پسوردتان را حدس بزنم، وارد شدن به اکانتتان خیلی خیلی ساده است! اما چه پسوردهایی قابل حدس زدن هستند؟
چه رمز های عبوری قابل حدس زدن هستند؟
هر رمز عبوری که شامل اطلاعات عمومی یا اطلاعاتی که به سادگی قابل کشف باشد، رمزی قابل حدس زدن است. علاوه بر این، پسوردی هم که شامل اطلاعات محرمانه یا اطلاعات خصوصی باشد باز هم پسوردی قابل حدس زدن است! یعنی پسوردهایی شامل اطلاعات تماس مثل شماره تلفن یا شهر و یا نام خودتان، خانوادهتان، دوستانتان، حیوان خانگیتان و… هم پسوردی ساده هستند. چرا؟
- تصور کنید که در رمزعبورتان، از نام ماهی قرمز عزیزتان استفاده کرده باشید! بعد در اینستاگرام هم فعال باشید و در استوریهای متعدد خود، از ماهی قرمز عزیزتان به نام قرمزی سخن گفته و از او با هشتگهای متعدد یاد کرده باشید.
- حالا فرض کنید که از تاریخ تولدتان هم در رمزعبور استفاده کرده باشید. مثلا فرض کنید که متولد ماه آذر هستید.
- علاوه بر آن، از نام خودتان هم در پسورد گذاشته باشید. مثلا فرض کنید نامتان امیر است.
= در این صورت اگر پسوردتان amirazarghermezi باشد، حدس زدن این پسورد با دست، کار یکی دو ساعت است و اگر کسی از رایانه استفاده کند، خیلی کمتر!
در واقع یک هکر میتواند با تحلیل افکار، سوابق و علایق شما، رفتار شما در فضای مجازی و به طور خاص شیوه انتخاب رمزتان را حدس بزند…
برای اینکه علت اهمیت این موضوع را متوجه شوید، فیلم زیر را مشاهده کنید. این فیلم چند سال پیش در آمریکا تهیه شده است و نشان میدهد مردم چه پسوردهای ساده و دردسترسی انتخاب میکنند و با اندکی شناخت داشتن از آنها میتوان به اکانتهایشان دسترسی پیدا کرد.
در این فیلم هم به خوبی میتوانید ببینید که پسوردهایی که شامل اسامی افراد یا چیزهای نزدیک به شما باشد، به سادگی قابل شناسایی و حدس زدن است. چه یک نفر آن را از زیر زبانتان بیرون بکشد، چه یک نفر بخواهد بر اساس چیزهایی که از شما میداند یا پیدا میکند، آن را حدس بزند. پس باید پسوردی بسازید که این ویژگیها را داشته باشد:
- پسوردتان به هیچ عنوان نباید شامل اسمی باشد که افراد زیادی از آن درباره شما اطلاع داشته باشند و یا شما در مکالمات روزمرهتان زیاد استفاده میکنید. (مثل اسم خودتان، اشیاء اطرافتان و…)
- پسوردتان به هیچ عنوان نباید شامل کلماتی باشد که در مورد شما شناخته شده است. مثل رشته دانشگاهی و…
- رمزعبورتان حتما شامل اعداد و علامتهای نگارشی باشد. (این نوع پسوردها توسط سیستم های رایانهای کشف رمز عبور سختتر حدس زده میشوند.)
- پسوردتان باید طول مناسب و نسبتا زیادی داشته باشد. در این مورد، حداقل روی 15 تا 30 حرف حساب باز کنید. چون اگر کسی بخواهد پسوردتان را حدس بزند، حدس زدن یک پسورد 20 حرفی تقریبا غیر ممکن است…
- پسورد نباید شامل شمارههای مرتبط با شما مثل شمارهی موبایل، تاریخهای مربوط به شما، تاریخهای مشهور و… باشد.
2. چرا رمز عبور نباید توسط افراد زیادی استفاده شده باشد؟
شاید باور نکنید، اما بسیاری از سایتها در گذشته مشکلات امنیتی متنوع داشتهاند. در نتیجه لیستهای بلندبالایی از پسوردهای لورفته در سطح اینترنت وجود دارد و جالب اینکه این لیست ها هر ساله آپدیت هم میشوند! مثلا لیست زیر شماری از پرتکرار ترین پسوردهای افشا شده در سال 2019 میلادی است. توصیه میکنیم نگاهی به آن بیاندازید… شاید بعضی از پسورد ها برای شما هم آشنا باشند! ؛)))
200 رمز عبور پرتکرار سال 2019 (کلیک کنید)
|
رمز عبور |
تعداد تکرار |
1 |
12345 |
2812220 |
2 |
123456 |
2485216 |
3 |
123456789 |
1052268 |
4 |
test1 |
993756 |
5 |
password |
830846 |
6 |
12345678 |
512560 |
7 |
zinch |
483443 |
8 |
g_czechout |
372278 |
9 |
asdf |
359520 |
10 |
qwerty |
348762 |
11 |
1234567890 |
329341 |
12 |
1234567 |
261610 |
13 |
Aa123456. |
212903 |
14 |
iloveyou |
171657 |
15 |
1234 |
169683 |
16 |
abc123 |
150977 |
17 |
111111 |
148079 |
18 |
123123 |
145365 |
19 |
dubsmash |
144104 |
20 |
test |
139624 |
21 |
princess |
122658 |
22 |
qwertyuiop |
116273 |
23 |
sunshine |
107202 |
24 |
BvtTest123 |
106991 |
25 |
11111 |
104395 |
26 |
ashley |
94557 |
27 |
00000 |
92927 |
28 |
000000 |
92330 |
29 |
password1 |
92009 |
30 |
monkey |
86404 |
31 |
livetest |
83677 |
32 |
55555 |
83004 |
33 |
soccer |
80159 |
34 |
charlie |
78914 |
35 |
asdfghjkl |
77360 |
36 |
654321 |
76498 |
37 |
family |
76007 |
38 |
michael |
71035 |
39 |
123321 |
69727 |
40 |
football |
68495 |
41 |
baseball |
67981 |
42 |
q1w2e3r4t5y6 |
66586 |
43 |
nicole |
64992 |
44 |
jessica |
63498 |
45 |
purple |
62709 |
46 |
shadow |
62592 |
47 |
hannah |
62394 |
48 |
chocolate |
62325 |
49 |
michelle |
61873 |
50 |
daniel |
61643 |
51 |
maggie |
61445 |
52 |
qwerty123 |
59782 |
53 |
hello |
59125 |
54 |
112233 |
58745 |
55 |
jordan |
58698 |
56 |
tigger |
57167 |
57 |
666666 |
56801 |
58 |
987654321 |
56653 |
59 |
superman |
56113 |
60 |
12345678910 |
55414 |
61 |
summer |
55403 |
62 |
1q2w3e4r5t |
55318 |
63 |
fitness |
55095 |
64 |
bailey |
54405 |
65 |
zxcvbnm |
53307 |
66 |
fuckyou |
52997 |
67 |
121212 |
52684 |
68 |
buster |
51495 |
69 |
butterfly |
51413 |
70 |
dragon |
50640 |
71 |
jennifer |
50602 |
72 |
amanda |
50560 |
73 |
justin |
50294 |
74 |
cookie |
49712 |
75 |
basketball |
49556 |
76 |
shopping |
49085 |
77 |
pepper |
48564 |
78 |
joshua |
48230 |
79 |
hunter |
47430 |
80 |
ginger |
47404 |
81 |
matthew |
47207 |
82 |
abcd1234 |
47064 |
83 |
taylor |
46375 |
84 |
samantha |
46353 |
85 |
whatever |
46339 |
86 |
andrew |
46083 |
87 |
1qaz2wsx3edc |
45643 |
88 |
thomas |
45317 |
89 |
jasmine |
45190 |
90 |
animoto |
44940 |
91 |
madison |
44183 |
92 |
987654321 |
44175 |
93 |
54321 |
43912 |
94 |
flower |
43696 |
95 |
Password |
43430 |
96 |
maria |
43177 |
97 |
babygirl |
43037 |
98 |
lovely |
42897 |
99 |
sophie |
42889 |
100 |
Chegg123 |
42542 |
101 |
computer |
42531 |
102 |
qwe123 |
42478 |
103 |
anthony |
42427 |
104 |
1q2w3e4r |
42242 |
105 |
peanut |
42143 |
106 |
bubbles |
42142 |
107 |
asdasd |
42096 |
108 |
qwert |
41948 |
109 |
1qaz2wsx |
41840 |
110 |
pakistan |
41798 |
111 |
123qwe |
41602 |
112 |
liverpool |
41272 |
113 |
elizabeth |
41268 |
114 |
harley |
41084 |
115 |
chelsea |
40499 |
116 |
familia |
39996 |
117 |
yellow |
39726 |
118 |
william |
39702 |
119 |
george |
39270 |
120 |
7777777 |
39071 |
121 |
loveme |
38797 |
122 |
123abc |
38501 |
123 |
letmein |
38353 |
124 |
oliver |
38269 |
125 |
batman |
37973 |
126 |
cheese |
37956 |
127 |
banana |
37910 |
128 |
testing |
37881 |
129 |
secret |
37784 |
130 |
angel |
37764 |
131 |
friends |
37741 |
132 |
jackson |
37731 |
133 |
aaaaaa |
37568 |
134 |
softball |
37556 |
135 |
chicken |
37250 |
136 |
lauren |
37151 |
137 |
andrea |
36940 |
138 |
welcome |
36723 |
139 |
asdfgh |
36597 |
140 |
robert |
35654 |
141 |
orange |
35594 |
142 |
Testing1 |
35389 |
143 |
pokemon |
35293 |
144 |
555555 |
35128 |
145 |
melissa |
35045 |
146 |
morgan |
34829 |
147 |
123123123 |
34721 |
148 |
qazwsx |
34436 |
149 |
diamond |
34422 |
150 |
brandon |
34227 |
151 |
jesus |
34220 |
152 |
mickey |
34180 |
153 |
olivia |
34110 |
154 |
changeme |
33940 |
155 |
danielle |
33781 |
156 |
victoria |
33770 |
157 |
gabriel |
33679 |
158 |
123456a |
33562 |
159 |
0.00000000 |
33417 |
160 |
loveyou |
33306 |
161 |
hockey |
33091 |
162 |
freedom |
33047 |
163 |
azerty |
32881 |
164 |
snoopy |
32792 |
165 |
skinny |
32682 |
166 |
myheritage |
32619 |
167 |
qwerty1 |
32560 |
168 |
159753 |
32365 |
169 |
forever |
32115 |
170 |
iloveu |
32043 |
171 |
killer |
31879 |
172 |
joseph |
31852 |
173 |
master |
31667 |
174 |
mustang |
31619 |
175 |
hellokitty |
31458 |
176 |
school |
30905 |
177 |
Password1 |
30871 |
178 |
patrick |
30821 |
179 |
blink182 |
30756 |
180 |
tinkerbell |
30739 |
181 |
rainbow |
30726 |
182 |
nathan |
30489 |
183 |
cooper |
30457 |
184 |
onedirection |
30388 |
185 |
alexander |
30078 |
186 |
jordan23 |
29874 |
187 |
lol123 |
29832 |
188 |
jasper |
29813 |
189 |
junior |
29502 |
190 |
q1w2e3r4 |
29368 |
191 |
222222 |
29362 |
192 |
11111111 |
29291 |
193 |
benjamin |
29288 |
194 |
jonathan |
29279 |
195 |
passw0rd |
29267 |
196 |
123456789 |
29110 |
197 |
a123456 |
29103 |
198 |
samsung |
29073 |
199 |
123 |
29068 |
200 |
love123 |
29064 |
و یا تصویر زیر که مربوط به بررسی نسبت پسوردهای چهاررقمی (PIN) با ترکیب **19 به غیر **19 است. همانطور که ملاحظه میکنید، شاهد تراکم تعداد تکرار در اعداد 1971 تا 1989 هستیم. جایی که شمار زیادی از کاربران احتمال سال تولد خود را به عنوان رمز انتخاب کرده اند! احتمالا همین اتفاق در مورد اعداد **13 در میان کاربران ایرانی وجود داشته باشد…
البته چنین لیستهایی که معمولا از بررسی و جمعآوری پسوردهای هک و افشا شده ایجاد میشوند بسیار زیادند. نمونه دیگری که شامل بیش از 10 میلیون پسورد پرتکرار است را میتوانید از گیتهاب دریافت کنید. در این نمونه موارد جالب و دردناکی به چشم میخورد. از جمله پسورد iran یا Salam که جزو رمزعبور های پرتکرارِ لو رفته ای هستند و احتمالا کاربران ایرانی (شاید مثل شما!) بیشتر از آنها استفاده می کنند…!
اهمیت توجه به لیست پسوردهای پرتکرار افشا شده چیست؟
اما چرا باید از استفاده از رمزهای رایج و پرتکرار پرهیز کرد. خوب است بدانید در اغلب آموزش های پیدا کردن رمز عبور و کشف پسورد اکانت، اولین قدم چک کردن لیست رمز های عبور پر تکرار است. به این روش استفاده از dictionary گفته میشود. به طوریکه هکر لیستی از پسوردهای پرتکرار و رایج تهیه کرده و با ترفندهایی به سیستم میدهد. به این امید که شاید سوژه مورد نظر هم از این رمزها استفاده کرده باشد…
البته خوشبختانه بخش اعظم رمزعبورهای این لیستها دیگر از سوی سایتها قبول نمیشوند اما باینحال شدیدا توصیه میکنیم شما از این دام فرار کنید!
روش ساده برای ساختن پسورد خوب
یک راه خیلی آسان برای ساخت پسوردی که هم خوب باشد و هم ساده حفظ شود – از دید من! – استفاده از یک بیت شعر یا جملهای است که خودتان میدانید و فقط برای خودتان معنی دارد.
پس از انتخاب این عبارت، در مرحله بعدی این جمله را با استفاده از حروف، اعداد و علامتهای نگارشی تغییر دهید؛ به طوری که کلا قابل حدس زدن نباشد.
مثلا تصور کنید جملهی «باغیجات دهات سر قله دریا رفت» همان جملهی مد نظر باشد. این جمله را در حالت انگلیسی و صرفا با توجه به جای حروف فارسی روی کیبورد تایپ کنید. حالا میتوان برای افزایش اطمینان این جمله را چند تغییر کوچک هم داد. عدد، حروف نگارشی و کلمات دیگر به آن اضافه کرد تا به یک پسورد بلند، بی معنی برای دیگران ولی ساده برای خودتان تبدیل شود:
- عبارت مورد نظر: باغیجات دهات سر قله دریا رفت
- عبارت بدون تغییر: fhyd[hjnihjsvrginvdhvtj
- پسورد نهایی: F2Yd[hjnihjsvrginvdhv9J
در این وضعیت میتواند تقریبا با خیال راحت میتوانید ادعا کنید:
خطر دوم، یک پسورد برای همه اکانت ها
اما نکته بعدی نحوه نگهداری رمز است. بدترین کار استفاده از یک رمز – ولو قوی – برای همه اکانت هاست. چرا که به فرض اگر یکی از سایت هایی که در آن عضو هستید دچار نقص امنیتی شود و اطلاعات آن افشا شود، عملا رمز همه اکانتهایتان لو رفته است…
از طرفی حفظ کردن پسوردهای 30-40 اکانت در سایت های مختلفی که معمولا مورد استفادهتان هستند کار بسیار مشکلی است… به همین دلیل توصیه میشود از نرمافزارهای مدیریت پسورد یا راههای جنبی تأیید هویت استفاده کنید. در پستهای بعدی به معرفی بیشتر برخی از این نرم افزارها خواهیم پرداخت.
شما چه روش دیگری برای ساخت پسورد قوی اما ساده برای حفظ کردن پیشنهاد میکنید؟
خیلی مطلب خوب و مفیدی بود
روشی که آخرش گفتید باحال و کاربردی بود. دمتون گرم.
سلام. اگر افزونههای حفظ پسورد استفاده بشه. در صورتی که ویندوز عوض بشه ، مجدد قابل استفاده است؟
سلام!
بستگی به افزونه و نحوه کارکردش داره و در کل به احتمال خیلی زیاد قابل استفاده خواهد بود.
البته ما توی پست بعدی چند ابزار خیلی کاربردی رو معرفی میکنیم که توصیه میکنیم تا اون موقع برای عوض کردن ویندوزتون دست نگه دارید! ؛))