برای قفل کردن مدیر رمز عبور خود به یک رمز عبور اصلی غیرقابل حدس نیاز دارید که باید آن را به خاطر بسپارید. در اینجا نحوه انجام آن آمده است.
هیچکس از رمزهای عبور خوشش نمیآید. در نهایت، آنها با یک فناوری جدید، شاید کلیدهای عبور یا چیزی که هنوز اختراع نشده، جایگزین خواهند شد. اما اکثر ما هنوز هر روز از رمزهای عبور استفاده میکنیم، دهها یا حتی صدها رمز، و به خاطر سپردن همه آنها غیرممکن است. اگر از یک رمز ساده مثل تاریخ تولد یا نام سگتان استفاده کنید، هکرها میتوانند آن را در چشم به هم زدنی حدس بزنند. حتی اگر مغزتان را به زحمت بیندازید و یک رمز عبور تصادفی دردسرساز مثل 4Y3s}#Rhkg7Y;A’5 را حفظ کنید، اگر آن را در بیش از یک سایت استفاده کنید، هیچ فایدهای ندارد چون با نفوذ به یک سرویس میتواند تمامی رمزهای دیگر شما را فاش کند. تنها راهحل (و راهحل خوبی هم هست!) این است که به یک مدیر رمز عبور تکیه کنید. با کمک چنین ابزاری، استفاده از یک رمز قوی متفاوت برای هر وبسایت ساده میشود. در ادامه به شما نشان میدهیم چگونه.
رمزهای غیرقابل حدس میتوانند سخت به خاطر سپرده شوند
مدیران رمز عبور کامل و مناسب بر روی تمام دستگاههای شما کار میکنند، چه کامپیوتر رومیزی، لپتاپ، گوشی هوشمند یا تبلت. آنها رمزهای غیرقابل حدسی مثل Z~/NQ”e5=|OO=qf9 ایجاد میکنند، آنها را به خاطر میسپارند و برای ورود به سایتهای امن شما بهطور خودکار استفاده میکنند.
اما یک مشکل در این طرح وجود دارد. تقریباً هر مدیر رمز عبور به یک رمز عبور اصلی برای قفل کردن تمامی رمزهای دیگر متکی است. رمز عبور اصلی باید غیرقابل نفوذ باشد چون هرکسی که به آن دسترسی داشته باشد میتواند تمام سایتهای امن شما را باز کند. اما باید بهیادماندنی هم باشد و نباید مثل رمزهای تصادفی غیرمفهوم باشد. اگر رمز عبور اصلی را فراموش کنید، هیچکس نمیتواند به شما کمک کند. خبر خوب این است که این موضوع به این معناست که یک کارمند بیوجدان نمیتواند به مخزن رمز شما دسترسی پیدا کند و NSA نمیتواند شرکت را مجبور به تحویل دادههای شما کند.
فرض کنید که از نظر امنیتی همه چیز را درست انجام دادهاید. یک آنتیویروس یا مجموعه امنیتی نصب کردهاید. یک شبکه خصوصی مجازی (VPN) ترافیک شبکه شما را با رمزگذاری حفاظتی میپوشاند. و یک مدیر رمز عبور برای مدیریت تعداد زیاد رمزهای عبور خود انتخاب کردهاید. اما هنوز هم باید یک رمز عبور اصلی بسیار امن و غیرقابل حدس برای قفل کردن آن مدیر رمز به خاطر بسپارید. در اینجا چند نکته برای انتخاب رمز عبوری که هم قابل بهخاطر سپردن باشد و هم غیرقابل حدس، آورده شده است.
۱. ایجاد رمزهای شاعرانه
همه یک شعر یا آهنگ محبوب دارند که هرگز فراموش نمیکنند. ممکن است یک خط از شکسپیر، آهنگی از تیلور سویفت یا چیزی طعنهآمیز از گروه Bonzo Dog Doo Dah Band باشد. هرچه که باشد، میتوانید آن را به یک رمز عبور تبدیل کنید. در اینجا نحوه انجام آن آمده است.
ابتدا حرف اول هر هجا را بنویسید. برای هجاهای تأکیدشده از حروف بزرگ استفاده کنید و هرگونه علامتگذاری را حفظ کنید. بهعنوان مثال، این خط از رومئو و ژولیت را امتحان کنید: “But soft, what light through yonder window breaks” از این خط، میتوانید عبارت ?bS,wLtYdWdB را بسازید. میتوانید برای کاملتر کردن رمز A2S2 (به معنای پرده دوم، صحنه دوم) را اضافه کنید، اگر این موضوع برایتان بهیادماندنی است. یا 1597 برای سال انتشار نمایشنامه.
اگر این عبارت وزن قوی ندارد، میتوانید فقط از حرف اول هر کلمه استفاده کنید و علامتگذاری و حروف بزرگ موجود را حفظ کنید. با استفاده از جمله “Be yourself; everyone else is already taken. – Oscar Wilde” میتوانید عبارت By;eeiat.-OW را بسازید. اضافه کردن یک عدد بهیادماندنی مثل 1854 (سال تولد او) یا 1900 (سال مرگ او) رمز عبور را کامل میکند.
رمز شاعرانه شما کاملاً متفاوت از این مثالها خواهد بود. شما با یک آهنگ یا نقلقول معنایدار خود شروع میکنید و آن را به یک رمز یکتا تبدیل میکنید که هیچکس نمیتواند حدس بزند.
۲. رمز عبور خود را به یک عبارت عبور تبدیل کنید
کارشناسان رمز عبور همیشه توصیه میکنند که از تمام چهار نوع کاراکتر استفاده کنید: حروف بزرگ، حروف کوچک، اعداد و علائم نگارشی. دلیل این است که با گسترش مجموعه کاراکترها، زمان لازم برای شکستن رمز عبور به طور چشمگیری افزایش مییابد. اما طول رمز عبور نیز میتواند شکستن آن را سختتر کند، و یکی از راههای ایجاد یک رمز عبور طولانی و بهیادماندنی استفاده از عبارت عبور است.
وبکامیک طنزآمیز و هوشمند XKCD به رمزهای عبوری که پیشنهاد میدهند یک کلمه معمولی را شروع کرده و برخی از حروف را با اعداد مشابه جایگزین کنند و سپس چند کاراکتر اضافی به آن اضافه کنند، حمله کرده است. این روش ممکن است شما را گیج کند. آیا این Tr0ub4dor&3 است یا Tr0ub4dor3&؟ یا شاید Tr0m30ne&3؟ یک عبارت عبور مانند “correct horse battery staple” بهطور قابل توجهی سختتر از شکستن است به دلیل طول آن، اما همچنین بسیار راحتتر برای به خاطر سپردن.
تمام مدیران رمز عبور فضای خالی را در رمز عبور اصلی مجاز نمیکنند. مشکلی نیست! فقط از یک کاراکتر مانند خط فاصله یا علامت مساوی برای جداسازی کلمات استفاده کنید. نکته حرفهای—از جداکنندهای استفاده نکنید که نیاز به فشار دادن کلید شیفت دارد. کلماتی را انتخاب کنید که به طور طبیعی کنار هم نمیروند، سپس یک داستان یا تصویر mnemonیک اختراع کنید تا آنها را به هم مرتبط کنید. برای “nether-urgent-account-donkey” چه تصوری دارید؟
اگر در پیدا کردن کلمات نامرتبط برای عبارت عبور خود مشکل دارید، ابزارهای آنلاین زیادی برای تولید عبارت عبور وجود دارند، از جمله وبسایت aptly نامگذاری شده “CorrectHorseBatteryStaple.net”. ممکن است بهطور معقول نگران استفاده از عبارتی عبور تولید شده توسط الگوریتم شخص دیگری باشید. در این صورت، میتوانید چند عبارت عبور تولید کرده و یک کلمه از هرکدام را برش دهید.
۳. رمز عبور خود را برای طولانیتر شدن پد کنید
استیون گیبسن، متخصص معروف کامپیوتر، پیشنهاد میکند که راز رمزهای عبور طولانی و قوی پد کردن است. اگر یک حملهکننده نتواند رمز عبور شما را با استفاده از حمله دیکشنری یا روشهای ساده دیگر شکسته کند، تنها راهحل باقیمانده اسکن ضربهای تمام رمزهای ممکن است. هر کاراکتر اضافی باعث میشود این حمله بسیار دشوارتر شود.
وبسایت گیبسن یک “Search Space Calculator” ارائه میدهد که هر رمز عبوری که وارد میکنید را بر اساس نوع کاراکترهای استفاده شده و طول آن تحلیل میکند. این ماشینحساب مدت زمان تقریبی حمله ضربهای برای شکستن یک رمز عبور خاص را تخمین میزند. این یک متر اندازهگیری قدرت رمز عبور نیست بلکه یک متر زمان شکستن است و جالب است که ببینید چگونه زمان شکستن افزایش مییابد زمانی که رمز عبور را طولانیتر میکنید.
من سعی نمیکنم ببینم مردم چگونه رمزهای عبورشان را وارد میکنند، اما متوجه شدم که تعداد زیادی از آنها بر اساس حرکات دست، به نظر میرسد که با سه علامت تعجب پایان مییابند. این پد کردن پیشنهادی من نیست. اولاً، نیاز به کلید شیفت دارد. ثانیاً، خیلی پیشبینیشدنی است. تعجب نمیکنم اگر ابزارهای شکستن رمز عبور قبلاً “!!!” را در دیکشنریهای خود گنجانده باشند.
در عوض، دو کلید نزدیک به هم انتخاب کنید و به طور متناوب استفاده کنید، چیزی شبیه به vcvcvcvc. یا سه کاراکتر انتخاب کنید، مانند lkjlkjlkjlkj. ماشینحساب گیبسن میگوید که برای شکستن رمز عبور bS,wLtYdWdB? (همان رمز عبور رومئو و ژولیت از مثال قبلی من) بیش از 45 سال زمان میبرد. اضافه کردن vcvcvcvc این زمان را به بیش از یک کوadrلیون قرن افزایش میدهد.
نکته اضافی: از احراز هویت چندمرحلهای استفاده کنید
تبریک میگویم! شما یک رمز عبور اصلی طولانی اما کاملاً بهیادماندنی طراحی کردهاید. فقط یک نکته باقی مانده است. یک فرد که از روی شانه شما نگاه میکند و حافظه خوبی دارد میتواند رمز عبور شما را دیده و از آن برای باز کردن مخزن رمز عبور شما استفاده کند. احتمال بیشتر این است که یک هکر با استفاده از یک تروجان دزد اطلاعات رمز عبور را به دست آورد. حالا چه باید کرد؟
راهحل این است که حفاظت رمز عبور اصلی را با نوع دیگری از احراز هویت تقویت کنید. احراز هویت چندمرحلهای معمولاً حداقل شامل دو نوع از این سه مورد است: چیزی که میدانید (مانند رمز عبور)، چیزی که دارید (مانند یک برنامه در گوشی هوشمند)، و چیزی که هستید (مانند اثر انگشت).
اکثر مدیران رمز عبور به شما اجازه میدهند از یک برنامه تأیید هویت برای افزایش امنیت استفاده کنید. حالا یک دزد رمز عبور نمیتواند فقط با استفاده از رمز عبور وارد مخزن شما شود. بدون کد برنامه تأیید هویت، دسترسی به رمزهای حسابهای ارزشمند شما غیرممکن است.
طولانی، قوی و بهیادماندنی
وقتی که در یک مدیر رمز عبور سرمایهگذاری کرده و تمام ورودهای خود را به رمزهای قوی و منحصربهفرد تبدیل کردید، تنها رمزی که باید به خاطر بسپارید، همان رمز عبور اصلی است که مدیر رمز عبور را باز میکند. این رمز عبور اصلی همه چیزهای دیگر را باز میکند، بنابراین واقعاً باید زمانی را صرف کنید تا رمزی پیدا کنید که به راحتی به خاطر بسپارید ولی برای دیگران غیرقابل حدس یا شکستن باشد.
یک رمز عبور بر اساس یک شعر، آهنگ یا نقلقول معروف ایجاد کنید. یا یک عبارت عبور بسازید که کلمات نامرتبط را با یک تصویر یا داستان بهیادماندنی پیوند دهد. سپس، مقداری پد آسان برای تایپ اضافه کنید. در نهایت، با یک رمز عبور اصلی مواجه خواهید شد که هم بهیادماندنی و هم غیرقابل شکستن است.
