پاد اوسینت ۵: آموزش حفظ امنیت اکانت گوگل

در مقالات قبلی پاد اوسینت و حریم خصوصی، درباره روشهای بالا بردن امنیت اکانت و چگونگی حفظ امنیت در فضای سایبری صحبت کردیم. به عنوان اولین و (اساسی ترین!) قدم برای امن کردن اکانت هم، روشی کاربردی برای ایجاد رمز عبور قوی را آموزش دادیم. در این گزارش، یک قدم جلوتر می‌رویم و به طور خاص به اکانت گوگل و روش‌های حفظ امنیت آن می‌پردازیم.

چرا امنیت اکانت گوگل خیلی مهم است؟!

برای بسیاری از ما، اکانت گوگلمان (یا به تعبیر عامیانه همان جیمیل) تمام زندگیمان است! این اکانت‌ها معمولا برای ثبت‌نام در سامانه‌های دولتی، ساخت حساب بانکی، ثبت نام در دانشگاه، ثبت نام در بورس و به طور کلی همه جا(!) استفاده می‌شوند. تمام سرویس‌های گوگل روی این حساب‌ها متمرکز هستند. در Google My Activity تمام سرچهای شما ثبت می‌شود. Google Map اطلاعات سفرهایتان را ذخیره می‌کند. Google Contacts از مخاطبانتان نگهداری می‌کند و Google Drive از فایلهایتان…

بماند سایت‌های مختلفی هم که به خاطر تنبلی برای ساختن حساب کاربری در آنها از طریق جیمیل در آنها لاگین کرده‌اید، در اکانت گوگل قابل دسترسی هستند و … بر این اساس، این اکانت‌ها معمولا حاوی اطلاعات حیاتی درباره ما هستند و مرجع کاملی از سوابق، ارتباطات و اطلاعات شخصی ما هستند! حالا در این شرایط تصور کنید اکانتی به این مهمی، از دسترستان خارج شود…! وحشتناک نیست…؟!

به این ترتیب حفظ حریم خصوصی اکانت گوگل اهمیت بالایی دارد. اما چگونه باید امنیت جیمیل را بالا ببریم؟ این راهنما قصد دارد به صورت مرحله به مرحله گزینه‌های معمول امن کردن اکانت گوگل را برایتان توضیح دهد تا خیالتان بابت از دست رفتن اطلاعات توسط هکرها راحت شود. لذا توصیه میکنیم حتما با این گزارش همراه شوید؛ چون سارقان اطلاعات از آنچه می‌پندارید به شما نزدیکترند…!

بررسی تنظیمات امنیت اکانت گوگل

در قدم اول، برای دسترسی به تنظیمات امنیت گوگل، باید وارد بخش مدیریت اکانت خود شوید. برای این کار یا می‌توانید از طریق این لینک اقدام کنید، یا در یک صفحه‌ی اول گوگل، اکانت خود را انتخاب و روی گزینه manage your google account کلیک کنید تا وارد صفحه مدیریت جیمیل شوید و پس از آن، زبانه‌ی Security را انتخاب کنید. در اینجا می‌توانید گزینه‌ها و نکات مختلف امنیتی گوگل را مشاهده کنید.

بگذارید از همان ابتدا شروع کنیم:

برای آموزش این مطلب یک اکانت تقریبا معمولی از لحاظ حفظ امنیت را ایجاد کردیم و عکس‌ها از همین اکانت انتخاب شده‌اند. البته توجه داشته باشید که این اکانت به هیچ عنوان یک اکانت شخصی نیست. هیچ ایمیل مهمی هم از هیچ فرد مهمی دریافت نمی‌کند. لذا مشکلات آن و حتی دسترسی خارجی به اطلاعات این اکانت مشکل خاصی برای ما و حریم خصوصیمان ایجاد نمی‌کند. اما در حال حاضر حجم بسیار زیادی از اکانت‌های شخصی افراد، دارای وضعیت مشابه و بعضاً بسیار ضعیف‌تر‌ است… حتی شاید اکانت شما، دوست عزیز…!

در نخستین قسمت، گوگل اصلی‌ترین مشکلات امنیتی که در حال حاضر برای اکانت‌ گوگلتان وجود دارد را یک‌جا جمع کرده است. برای مثال در اکانتی که برای این بررسی انتخاب کردیم، چندین مشکل امنیتی وجود داشت. اگر روی گزینه‌ی secure account کلیک کنید، گوگل شما را به یک صفحه‌ی ساده و خالی هدایت می‌کند. در این صفحه اولین چیزی که مشاهده می‌کنید، تعداد مشکلات امنیتی اکانت است.

گوگل در این قسمت، اصلی‌ترین موارد را به صورت جزئی بررسی کرده است. همانطور که در تصویر نیز مشخص است، در این اکانت تقریبا تمام موارد با یک تیک سبز همراه هستند. اما معنای این گزینه‌ها چیست؟

Third-party access

 گزینه‌ی اول اعلام می‌کند که چه نرم‌افزارهای دیگری – به جز سرویس‌های خود گوگل – به این اکانت دسترسی دارند. به طور مثال این تصویر نشان می‌دهد که چندین سرویس خارجی به این اکانت دسترسی دارند. این مورد می‌تواند مربوط به ایمیل شرکتی باشد که چندین سرویس خارجی (مدیر عامل، معاون و منشی) به آن دسترسی داشته باشند. در صورتی که روی گزینه کلیک کنید، تک‌تک نرم‌افزارهای دارای دسترسی به اکانتتان را نشان می‌دهد. مثلاً، موردی که در تصویر زیر نشان داده شده، مربوط به یک سرویس خارجی است که به محتویات Google docs (ابزار ورد، پاورپوینت و دیگر مواردی که گوگل به صورت آنلاین و رایگان در اختیارتان می‌گذارد) دسترسی دارد.

در صورتی که مایل نبودید این سرویس به حساب گوگل شما دسترسی داشته باشد، می‌توانید این دسترسی را با Remove access قطع کنید.

توجه داشته باشید در صورتی که وضعیت اکانت شخصی شما همانند این مورد آموزشی است و دسترسی‌هایی غیر از خودتان به اکانت وجود دارد، زنگ خطری جدی برایتان به صدا در آمده است! خصوصا اگر این دسترسی‌ها از سرویس‌ها یا دستگاه‌هایی غیر از دستگاه‌های شخصی شما هستند…

Your Devices

دومین گزینه تنظیمات امنیتی گوگل، دستگاه‌هایی را که در حال حاضر به این اکانت دسترسی دارند اعلام می‌کند. برای مثال در اکانت مورد بررسی در این آموزش، صرفا یک دستگاه به این اکانت دسترسی دارد که همین سیستمی است که در حال تهیه این آموزش با آن هستیم. پس جای نگرانی نیست.

اما شما به دقت این بخش را بررسی کنید. در صورتی که دستگاهی را نمی‌شناسید، حتما آن را از دسترس خارج کنید. در صورتی که هر دستگاه دیگری به اکانت متصل شده باشد، یک گزینه‌ی Remove یا Sign out در کنار آن دستگاه مشاهده خواهید کرد.

Recents Security Events

در این قسمت، تمام رخدادهای مهم امنیتی مربوط به حساب کاربری شما در گذشته‌ی نزدیک نشان می‌شود. این موارد شامل ورود (Login) به اکانت، استفاده از روشهای ورود دومرحله‌ای، تغییرات گزینه‌های امنیتی اکانت و … است.

برای مثال به تصویر زیر توجه کنید. در این تصویر سه فعالیت صورت گرفته لیست شده‌اند. مورد اول مربوط به استفاده از یکی از گزینه‌های ورود دو مرحله‌ای (در این مثال استفاده از کدهای یکبار مصرف) است. مورد دوم درباره لاگین در اکانت با یک دستگاه جدید و سومین مورد هم به خاطر ایجاد کدهای یک‌بار مصرف جدید برای جایگزین کردن کدهای مصرف شده است.

نکته‌ای که در این لیست اهمیت دارد و باید مورد توجه قرار دهید این است که همه این تحولات باید توسط خودتان صورت گرفته باشد. در این تصویر تمام فعالیت‌ها را توسط خودِ ما انجام شده است. اما در صورتی که در اکانت شما، موردی وجود دارد که خودتان انجام ندادید، باید گزینه‌های امنیتی ورود به اکانت خود را بررسی کنید. برای این منظور، با کلیک بر روی «Don’t recognize an event?» می‌توانید گزینه و توصیه‌هایی که گوگل در اختیارتان گذاشته را مشاهده و اجرا کنید. (مثلا در این مثال، گوگل توصیه به تغییر رمز عبور میکند)

Two step verification

بخشی دیگر در صفحه تنظیمات امنیتی اکانت گوگل، مربوط به گزینه‌های مختلف «تأیید هویت دو عاملی» است.

برای اکانت مورد بررسی در این گزارش، ما یک گزینه را فعال کرده‌ایم. البته امکانات مختلفی در این قسمت وجود دارد که بر اساس نیاز خودتان می‌توانید هر کدام را فعال کنید. در این قسمت اطلاعات مختلف راجع به این گزینه‌ی تأیید هویت دو عاملی نیز مشاهده می‌شود.

Password Checkup

 آخرین گزینه مربوط به پسوردهای اکانت های مختلفی است که با حساب کاربری گوگل خود همگام (Sync) کرده‌اید. گوگل امکان بررسی تک تک این پسوردها را برای اطمینان از امنیت‌شان و لو نرفتن پسوردها فراهم کرده است. برای مثال، در این اکانت 20 پسورد ذخیره شده وجود دارد.

بعد از کلیک روی این گزینه، صفحه‌ی بعد گوگل اعلام می‌کند که امکان بررسی پسوردها را دارد اما پیش از انجام این عمل، باید هویت شما تاثیید شود. با کلیک بر روی Check passwords باید اول با رمز عبور خود مجدداً وارد گوگل شوید.

در مرحله‌ی بعد می‌توانید تمام نکات مربوط به پسوردهای ذخیره شده در اکانت را مشاهده کنید. در این اکانت، هیچ مشکلی در مورد پسوردها وجود نداشت. به این معنی که تمام نکاتی که در آموزش مربوط به انتخاب پسورد گفته شده بود، رعایت شده بودند!

در این مرحله، گزینه‌های امنیتی مربوط به این اکانت بررسی شدند. برای بازگشت به منوی قبلی، روی «Continue to your Google Account» کلیک کنید.

بررسی راه‌های ورود به اکانت

حال زمان بررسی راه‌های ورود به اکانت رسیده است. در این قسمت می‌توانید پسورد خود را عوض کنید، گزینه‌های مربوط به تأیید هویت دو عاملی را فعال یا غیر فعال کنید. همچنین امکان ورود به حساب گوگل را از طریق سایر نرم‌افزارها فراهم کنید. در تصویر زیر، می‌توان آخرین زمان تغییر رمز عبور را مشاهده کرد. علاوه بر آن، امکان بررسی فعال یا غیرفعال بودن تأیید هویت دو عاملی نیز قابل مشاهده است.

تغییر پسورد اکانت

با کلیک بر روی Password، میتوانید رمز عبور خود را تغییر دهید. در صورتی که روی این گزینه کلیک کنید، گوگل از شما می‌خواهد که دوباره وارد اکانت شوید. پس از آن به صفحه‌ی جدیدی منتقل می‌شوید که در آن باید پسورد جدید را وارد کنید. توجه کنید که خود گوگل بالای صفحه نکاتی راجع به انتخاب پسورد مناسب اعلام کرده است. این نکات بخشی از همان مواردی هستند که در پاداوسینت های قبلی به آنها اشاره کردیم.

در مجموع توصیه می‌کنیم هر سه-چهار ماه رمز عبور خود را تغییر دهید. این باعث می‌شود اگر جایی هم سهواً دسترسی غیرمجازی به اکاتتان برقرار شده است، از بین برود. (اگر این کار برایتان خیلی سخت جلوه میکند و نمیدانید این پسورد ها را چطور حفظ کنید پاداوسینت 4 را بخوانید!)

برای این اکانت، ما یک پسورد خوب و طولانی را وارد کرده‌ایم. گوگل هم آن را Strong اعلام کرد. و به این معنا که پسورد وارد شده، مناسب است.

پس از تغییر پسورد، به صفحه‌ی مدیریت اکانت بازخواهید گشت. در این صفحه تاریخ تغییر پسورد را مشاهده خواهید کرد.

تعیین هویت دو مرحله ای

گزینه‌ی بعدی مربوط به تعیین هویت دوعاملی (Two step verification) است. فعال کردن این گزینه، اکانت شما را به شدت امن می‌کند. توصیه می‌کنیم حتی برای اکانت‌هایی که خیلی مهم نیستند، حداقل یک مورد از این موارد را فعال کنید.

در هر حال گوگل  پیش از هر مورد دیگری در بالای صفحه اعلام می‌کند که آیا تأیید هویت دو عاملی فعال است یا خیر؟ در اکانتی که برای نمایش این موضوع استفاده شده، این قابلیت فعال است.

قسمت بعد که با Available second steps مشخص شده، گزینه‌های فعال شده را در خود دارد. در این قسمت امکان فعال‌سازی یا غیرفعال‌سازی هر گزینه را در کنار تغییر اطلاعات مربوط به آن در اختیار دارید. برای مثال در اکانت مربوط به این تصویر، 4 امکان مختلف برای تأیید هویت دو عاملی تعریف شده است. به این ترتیب در صورت در دسترس نبودن هر کدام از این موارد (مثلا در دسترس نبودن تلفن همراه)، یک راه جایگزین برای تأیید اکانت وجود دارد. توجه کنید که برای تغییر یا حذف هر گزینه باید روی علامت مداد یا سطل زباله مقابل هر گزینه کلیک کنید.

اگر شما یک کاربر با سطح امنیتی معمولی هستید فعال کردن گزینه‌های Google prompts و Authenticator app به دلیل سادگی و سرعتشان یک عمل ساده و لازم است پس در انجام آن کوتاهی نکنید.

برای این کار نیاز به یک تلفن همراه هوشمند دارید و برای استفاده از این مورد نیز باید تلفن همواره در دسترس‌تان باشد.

در صورتی که یک کلید فیزیکی تأیید هویت (مثل Yubikey) در اختیار دارید، می‌توانید از Security Key هم استفاده کنید. استفاده از این گزینه، مثل نسبت دادن یک کلید واقعی (مثل کلید در خانه) به اکانت گوگل شماست. بدین معنا که برای لاگین کردن در اکانت، باید کلید مذکور را وارد پورت usb کنید. این به واقع حداکثر امنیتی که می‌توانید از یک اکانت انتظار داشته باشید!

در انتهای صفحه ذیل «Devices that don’t need a second step» می‌توانید تمام دستگاه‌هایی که نیاز به استفاده از تأیید هویت دو عاملی ندارند را مشاهده کرده و در صورت عدم اعتماد، آنها را حذف کنید.

App passwords

در نهایت در قسمت App passwords می‌توانید به سایر نرم‌افزارهای غیر گوگلی خود اجازه دسترسی به حساب جیمیل و گوگل تان را بدهید. معمولا نرم‌افزارهایی مثل outlook و thunderbird این نوع دسترسی را لازم دارند. برای مثال به تصویر زیر توجه کنید. در این تصویر چنین دسترسی‌ای را برای دو نرم‌افزار تأیید کرده‌ایم. مجدد ذکر میکنم در صورتی که هر نرم‌افزار ناشناس یا ناامنی را در این لیست مشاهده کردید، حتما با کلیک روی علامت سطل زباله این دسترسی را حذف کنید!

تنظیمات راه های بازیابی اکانت گوگل و جیمیل

قسمت بعد، راه‌های بازیابی اکانت شما را در خود دارد. در اینجا، می‌توانید یک یا چند شماره‌ی تلفن یا ایمیل بازیابی به اکانت گوگل تخصیص دهید. اگر اکانت برایتان خیلی مهم است، حتما چند ایمیل و شماره‌ی تماسی که در دسترستان هست را به آن بدهید و سرسری از کنار این موضوع عبور نکنید! برای مثال در این اکانت از یک شماره و یک ایمیل استفاده شده است.

بخش‌های بعدی شامل «Recent security events»، «Your devices» و «Third-party apps with account access» است که آنها را پیش‌تر با جزئیات توضیح دادیم.

سایر تنظیمات امنیتی گوگل

در انتها نیز سایر اطلاعات مربوط به اکانت شامل پسوردها، سایر سایت‌هایی که برای ورود به آن‌ها از گوگل استفاده کردیم و سایر اکانت‌های متصل به این اکانت جیمیل نمایش داده می‌شود. در صورتی که هر کدام از این موارد را نمی‌شناسید، حتما گزینه‌ی مربوطه را بررسی کنید. مثلا اگر از اکانت گوگل برای بازیابی هیچ اکانتی استفاده نکرده‌اید، یا هیچ نرم‌افزار یا اپلیکیشینی را به اکانت گوگل متصل نکرده‌اید ولی در اینجا مواردی را مشاهده می‌کنید، حتما این موضوع را بررسی کنید…!

جمع‌بندی: «گوگل امن است، اما خودکرده را تدبیر نیست!»

در این مقاله تمام موارد ذیل تب امنیت حساب کاربری گوگل را مورد بررسی قرار دادیم. مجدداً توصیه و تاکید می‌کنیم تک‌تک این موارد را در اکانت خودتان بررسی کنید. اگر چیزی را مشاهده می‌کنید که نمی‌شناسید، حتما دسترسی آن را از اکانت خود حذف کنید.

البته توجه کنید که گوگل به طور کلی بستر بسیار امنی است؛ اما امنیت اکانت شما، صرفاً به خود گوگل وابسته نیست! خود شما نیز باید مراقب اکانت، اطلاعات و حریم خصوصی خود باشید. در صورتی که خودتان اطلاعات خودتان را جایی لو داده باشید (مثلا از طریق مهندسی اجتماعی) یا از نرم‌افزارهای ناامن و سایت‌های غیرمطمئن استفاده کرده باشید، مهم نیست که گوگل چقدر سفت و محکم امنیت شما را حفظ کند، اطلاعاتتان به احتمال زیاد خود به خود لو خواهد رفت…