فناوری

چرا نام های کاربری و کلمات عبور یک شیوه امنیتی نامطلوب و قدیمی محسوب می شوند؟

پسوردها امروزه بخش مهمی از زندگی ما رو تشکیل میدن؛ تصور کردن فضای مجازی بدون اونا غیر ممکنه. با این حال اگه در مورد ایده به کار گیری کلمات عبور کمی فکر کنیم متوجه نا امن بودنشون میشیم. با این که خیلی از کارشناسان امنیت به این موضوع آگاهی دارن اما هنوز بخش مهمی از فعالیتای اینترنتی ما مجبور به به کار گیری پسورد هستن.

با هر بار هک شدن یه کارت اعتباری و یا یه سایت بیشتر مشخص می شه که نمیشه روی اونا به عنوان یه راه حل امنیتی موثر تکیه داشت. اما به غیر از کلمات عبور از چه روشی دیگری میشه استفاده کرد؟

به چه دلیل به کار گیری پسوردا رواج یافت؟

رومیان باستان واسه تشخیص هویت افراد و مقام اونا از اسم شب استفاده می کردن. علاوه بر این، اسم شب واسه ورود به محلای مخفی و خصوصی هم به کار می رفت. این اسامی رمز شباهت بسیاری به کلمات عبور امروزی شباهت و تلاش میشد با تغییر هر روزه اونا سطح امنیت بالاتر بره.

معمولا اسامی شب شامل یه رمز عبور و یا ضربه هایی از پیش تعیین شده می گشتن، اینجوری که فردی سوال خاصی رو مطرح می کرد و منتظر شنیدن جواب مقرر اون میشد.

مثلا، در جنگای جهانی نورماندی (Normandy)، سربازان امریکایی به هنگام رویارویی با بقیه گروه ها کلمه Flash رو بر زبون می آوردن و اگه کلمه Thunder از جهت دیگه اعلام می شد، اونا به خودی بودن دسته مقابل پی می بردن. به کمک این روش به شکلی جدی از ورود جاسوسان به درون ارتش امریکا جلوگیری می گشت.

پسوردهای رایانه ای هم از همین اسم شبای ارتش سرچشمه می گیرن، فرقش اینه که واسه هر نام کاربری کلمه عبور خاصی در نظر گرفته می شه. اما در کل عمر به کار گیری این فوت وفن امنیتی به بیشتر از هزاران سال می رسه.

در ادامه با سایت ما همراه شید تا با دلایل قدیمی شدن روش محافظتی کلمات عبور و روش های جانشین اون بیشتر آشنا شید.

پسوردها امن نیستن

در این موضوع که پسوردها در مورد امنیت کمک بزرگی به ما کردن شکی نیس، با این حال نمیشه اونا رو بی اشکال و به طور کاملً ایمن دونست. در واقع کلمات عبور یه عیب بزرگ و برطرف نشدنی دارن، کاربران بیشتر زمان زیادی واسه انتخاب یه عبارت رمز قوی صرف می کنن تا در آخر از امنیت فایلا و اطلاعات خود مطمئن می شن. اما به محض این که فردی از کلمه رمز اونا باخبر شه، تموم زمان صرف شده و نکات روش زوم شده بی ارزش می شن. تو یه کلام، به کار گیری پسوردها امنیت نه خیلی محکمی رو واسه کاربران جفت و جور می آورد.

به کار گیری سوالات امنیتی مشکل ما رو حل می کنه؟ راه حل خیلی از بانکا و سرویسای معتبر، به کار گیری این جور سوالاته، ولی اگه کمی دقت کنین متوجه می گرذیذ که این سوالات در واقع گونه ای مشابه از پسوردا اما در شکل و شمایل متفاوت هستن. در واقع سوالات امنیتی هم مثل کلمات عبور دچار ضعفای جدی امنیتی هستن.

از جمله دیگر مشکلات و ضعفای به کار گیری روش محافظتی پسورد در اینترنت میشه به موارد زیر اشاره کرد:

  • بیشتر کاربران نمی خوان پسوردهای طولانی و پیچیده ای رو یادشون باشه و معمولا از عبارات ساده ای به عنوان کلمه عبور خود استفاده می کنن که خیلی راحت میشه اونا رو حدس زد.
  •  بیشتر ادما از یه رمز عبور واسه همه اکانتای خود استفاده می کنن، یعنی یه شاه کلید واسه باز کردن تموم قفلای خود میسازن.
  •  خیلی از کاربران پسورد خود رو مخفی نگه نمی دارن و معمولا اونو با دوستان، اعضای خونواده و یا حتی افراد ناشناس به اشتراک می ذارن و بسیار راحت به هر کسی در این مورد اعتماد می کنن.
  •  کلمات عبور در مقابل بدافزارهایی موسوم به کی لاگر (Keylogger) که به ثبت اونا در بین وارد کردنشون به وسیله کاربران می پردازن دارای ضعف جدی بوده و البته سو به کار گیری اطلاعات کاربران به وسیله بد افزارهای نامبرده فقط به کامپیوترها ختم نشده و ماشینای خودپرداز بانکی هم بعضی وقتا قربونی اونا بودن.

بهترین راه حل پیشنهادی چیه؟

تایید هویت دو دلیلی (Two-Factor Authentications) امروزه محبوبیت خوبی رو در بین کاربران پیدا کرده. برخلاف به کار گیری پسورد و سوالات امنیتی که اصلا امن به نظر نمی رسن، این نوع تایید هویت از درجه امنیت به مراتب بالاتری برخورداره. در به کار گیری این روش کاربر با به کار گیری اطلاعاتی مثل پسورد و کد فرستاده شده به گوشی موبایل خود، وارد حساب مربوطه می شه. به کار گیری اثر انگشت هم در این روش تا حد زیادی رایجه.

چیزی که گفته شد دقیقا همون مسیریه که امنیت رایانه ای باید به سمتش تغییر بفرسته. روشای یاد شده غیر قابل نفوذ بوده و لازمه حضور فیزیکی فرد جهت شناسایی ایشون هستن.

تو یه روش مشابه فلشای USB می تونن به کلیدای فیزیکی واسه ورود به یه حریم شخصی بدل شن. این ایده هنوز جوری گسترده نشده اما مطمئنا کاربردای خوبی رو داره، مثلا، تنها وقتی که فلش USB به رایانه وصل باشه امکان ورود به ایمیل کاربر واسه اون محیا می شه.

علاوه بر موارد گفته شده، به کار گیری ویژگیای خاص انسانی (مثلا، اثر انگشت و چهره) واسه تایید هویت یکی دیگه از بخش هاییه که نیاز به تامل بیشتری داره. مثلا به کار گیری وب کم واسه تشخیص چهره افراد، اثر انگشت و یا تشخیص عنبیه چشمون همه از ضرایب امنیتی بالایی بهره مند هستن.

البته مشکلاتی در به کار گیری روشای نامبرده هم هست؛ باید مواردی مثل اشتباهات رایانه ای، قطع عضو بدن و یا التهاب چشم هم روش زوم بشه. هم اینکه این نوع سیستم تایید هویت باید در مقابل جاسوسان، صداهای ضبط شده و تصاویر گرفته شده مقاوم بوده و خیلی راحت فریب نخورد.

در آخر، بعضی به کار گیری چیپستای RFID و دستگاه های NFC رو به جای پسورد پیشنهاد می کنن. اما بدیش اینه این دو روش هم از امنیت کاملی بهره مند نبوده و قابل اطمینان نیستن؛ چیپستای RFID قابل نفوذ هستن و هم اینکه دستگاه های NFC هم امنیت بالایی رو ارائه نمی دن.

از همین رو فعلا مجبور به به کار گیری پسوردها هستیم تا کم کم روشای یاد شده به همراه روشای ایمن تری که در آینده ارائه می شن جانشین این نوع مراقبت سنتی گردند و بخاطر این پیشنهاد می کنیم از پسوردهای پیچیده و امن استفاده نکرده و اونا رو در اختیار بقیه قرار ندین.