اخبار > انتخاب یک عبارت معقولانه برای رمز عبور




لینک منبع

مقدمه

این بلاگ، صرفا جهت بالا بردن دانش خوانندگان محترم تحت مبحث «انتخاب یک رمز عبور معقولانه» است. هدف اصلی این نوشتار رسیدگی به امنیت Access-pointها است، که امروز در هر خانه به طور متوسط یکی وجود دارد. امنیتی که فقط با انتخاب یک رمز عبور مناسب تامین می شود.

در این مقاله سعی بر آن بوده است که از مباحث تخصصی پرهیز شود، برای مثال کلمه «به دست آوردن رمز عبور شما»که شامل بسیاری از مراحل و پیش‌نیازهای سخت‌افزاری و نرم‌افزاری است، در این مقاله به کار برده شده تا خواننده قانع شود این کار به راحتی قابل تحقق است.

رمز عبور مناسب برای کاربران

نام کاربری شما تنها راهی است که یک سیستم مکانیکی به وسیله‌ آن می‌تواند شما را از دیگری تشخیص داده و کلمه عبور تنها راه صحت درستی تشخیص است. پس چه بهتر است که رمزی را برگزینیم که امکان حدس زدن آن چه به وسیله اشخاص و چه برنامه‌های مختلف بسیار کم باشد. اغلب دسترسی‌هایی که به وسیله افشا رمز عبور حاصل می‌شود ناشی از انتخاب یک رمز عبور قابل حدس (چه به وسیله‌ انسان چه ماشین) به همراه سیستم رمزنگاری ضعیف می‌باشد.

اهمیت استفاده از یک رمز عبور امن

نتیجه حصول رمز عبوری شما توسط شخصی دیگر در برخی موارد می تواند خسارات جبران ناپذیری را به همراه داشته باشد. دیدن اطلاعات شما از قبیل اطلاعات شخصی که شامل حساب بانکی، ایمیل‌ها، پیام‌ها از یک طرف ... دستکاری کردن و از بین بردن فایل‌‌ها و اطلاعات از طرفی دیگر ... و حتی انجام دادن سایر فعالیت‌های غیر قانونی با نام و اعتبار شما از مواردی هستند که می‌توان به آنها اشاره کرد.

و اما نکات ابتدایی

  1. رمز عبور خود را تا جایی که می‌توانید طولانی انتخاب کنید. این نکته بسیار بسیار مهم است و من خیلی روی آن تاکید دارم. انتخاب یک رمز عبور طولانی با تعداد کاراکترهای تحت پوشش کمتر بسیار بر یک رمز عبور کوتاه با کاراکترهای متفاوت ارجحیت دارد. این امر را با یک محاسبه ساده ریاضی (جایگشت) می‌توان نشان داد.
  2. سعی کنید رمز عبور شما شامل کاراکترهای گوناگونی چون اعداد، حروف، کاراکترهای ویژه و حروف کوچک و بزرگ باشد. این امر بعد از بند اول حائز اهمیت‌تر است.
  3. هرگز از اطلاعات شخصی خود به طور کامل مانند تلفن، اسم، آدرس و... در رمز عبور استفاده نکنید. مثلا چنین رمز عبوری مناسب نیست : yashar4475302، که به ترتیب اسم و شماره تلفن کاربر است. حتی از به کار بردن نام‌ها و اطلاعات آشنایان هم تا حد ممکن بپرهیزید.
  4. از عبارات صحیح که در دیکشنری موجود است، استفاده نکنید. همیشه رمز عبور خود را حاوی غلط املایی بگذارید، برای مثال نوشتن teibel به جای table!
  5. هرگز رمز عبور خود را همانند نام کاربری خود انتخاب نکنید (متاسفانه این مورد به وفور در دنیای مجازی و نهادهای دولتی به چشم می‌خورد).
  6. سعی کنید رمز عبور شما به گونه‌ای باشد که از روی دست شما هنگام تایپ کردن آن قابل حدس زدن نباشد، مانند qwert 123654 و ... که پشت سر هم هستند.

رمز عبور من شامل چه چیزهایی نباید باشد؟

  • نام شما
  • نام همسر شما
  • نام پدر و مادر شما
  • نام حیوان خانگی شما
  • نام فرزند شما
  • اسامی دوستان نزدیک یا همکاران
  • اسامی شخصیت‌های فانتزی مورد علاقه خود
  • نام رئیس شما
  • نام کسی (به طور کلی هر اسمی)
  • نام سیستم عامل شما
  • شماره تلفن شما
  • تاریخ تولد کسی
  • سایر اطلاعاتی که به راحتی در مورد شما به دست می‌آید
  • هر نام کاربری بر روی کامپیوتر
  • یک کلمه در فرهنگ لغت انگلیسی
  • یک کلمه در یک فرهنگ لغت خارجی
  • محل (موقعیت جغرافیایی)
  • هر یک از موارد فوق که یک حرف یا عدد به اول یا آخر آن اضافه شده باشد

 

امنیت Access-pointها

امروزه استفاده از این دستگاه‌ها بسیار متداول شده است، به طوری که بسیاری از افراد غیر فنی نیز در کنار شبکه وایرلس و یا ADLS، از این سیستم برای پخش اینترنت در فضای خانه، کارگاه و... استفاده می‌کنند. هر چه بیشتر شاهد استفاده کاربران از این سیستم باشیم، بیشتر خطر نفوذ به هر یک از سیستم‌های یک مجموعه را حس می‌کنیم.

بحث در این مقاله را بیشتر در راستای مردم ایران و خطراتی که آنها را تهدید می‌کنند هدایت می‌کنیم. متاسفانه امروزه اغلب رمزنگاری‌های (Access-poin (APها بر روی گزینه‌ی (WEP (Wired Equivalent Privacy گذاشته می‌شوند (این امر در مودم‌های وایمکس برخی سرویس‌دهندگان به وضوح دیده می‌شود. رمز عبور قسمت AP این مودم‌ها به صورت پیش فرض WEP می‌باشد).

به جرات می‌توان گفت کلیه APهایی که از این سیستم رمزنگاری استفاده می‌کنند در زمان کوتاهی قابل نفوذ هستند. کافی است یک جستجوی ساده در اطراف خود انجام دهید:

با شانس بالای 95% حداقل در یک مجموعه‌ AP (مجموعه را یک محله یا یک ساختمان تعریف می‌کنیم که با یک آنتن indoor به شدت 12 دسی‌بل قابل تجسس باشد) یک سیستم با رمزنگاری WEP خواهیم یافت. به طور متوسط زمان دسترسی به رمز عبور شما بین 5 تا 15 دقیقه است. اگر از این سیستم رمزنگاری استفاده می‌کنید و هنوز در امان هستید به نظر کمی خوش‌شانس بوده‌اید.

علاوه بر این سیستم رمزنگاری ضعیف، سیستم دیگری به نام WPA-PSK و (WPA2-PSK (Wi-Fi Protected Access Pre-Shared Key در ایران متداول شده است (البته 1 به 5 نسبت به WEP) که سیستمی بسیار قوی می‌باشد ( کمی تخصصی‌تر بحث کنیم ساختار عملکرد این دو سیستم رمزنگاری به طور کلی با هم فرق می کند). اما به علت رعایت نکردن نکات امنیتی در انتخاب رمز عبور این الگوریتم در ایران نیز به شدت WEP ضعف نشان می‌دهد!

بسیاری از شرکت‌های ارائه‌دهنده‌ اینترنت، هنگامی که برای configuration مودم به منزل شما می‌آیند، رمز عبور شما را شماره موبایل شما بدون 0 اول آن می‌گذارند، و یا به علت دشواری در به خاطر سپردن آن از عبارات فقط عددی کوتاه استفاده می‌کنند. به طور کلی WPA وقتی آسیب‌پذیر است که از عبارت کوتاهی جهت رمز عبور استفاده شود.

چنین رفتارهایی در دنیای امنیتی امروز کاملا منسوخ شده است.

 

خطر کجاست ؟

با توجه به تهدیداتی که در ابتدای مقاله ذکر شد، یکسان بودن رمز AP با هر یک از رمزهایی که قبلا بیان شده است منجر به تهدیدات خطرناکی می‌شود. از آنجا که بسیاری نام کاربری و رمز عبور بسیاری از مودم‌ها به طور پیش‌فرض admin می‌باشد و 99% آنها در ایران عوض نمی‌شوند (البته این رمز هیچ ربطی به رمز عبور AP ندارد) بعد از اینکه مهاجم به کلید AP شما دست پیدا کرد، به آن وصل شده علاوه بر استفاده رایگان از اینترنت شما، او در یک شبکه داخلی مشترک با شما قرار دارد!!!

اولین کار تایپ کردن IP روتر (همان مودم شما) است، بدین ترتیب با وارد کردن admin به panel تنظیمات مودم شما وارد می شود. او به راحتی قادر است با نصب یک افزونه روی مرورگر خود رمز عبور حساب کاربری شما که در مودم دخیره شده است را پیدا کند (این بدان معنی است که او می تواند از حساب شما استفاده کرده و یا حتی رمز شما را عوض کند). حال کافی است این اطلاعات مربوط به مودم وایمکس شما باشد...!

عواقب اینکه هر کدام از این رمزها به طور اتفاقی با رمز ایمیل یا ... شما یکی باشد نیز در طول این حمله همچنان وجود دارد. عملیات بعدی مهاجم آن است که شبکه داخلی را Scan کرده و تمام دستگاه‌هایی که به این AP وصل هستند را پیدا می‌کند، سپس در صورت عدم به روز بودن سیستم عامل و نصب نبودن وصله‌های امنیتی، او به سیستم شما نفوذ کرده و کلیه اطلاعات شخصی شما اعم از عکس‌ها، اسناد، نوشته‌ها و ... را در دست خواهد گرفت ... کافی است شما کارمند یا مدیر یک بانک یا یک ارگان مهم باشید!

این مقاله به طور کامل به شرح تمامی خطرات نمی‌پردازد، اما این بسیار محتمل است که یک سرقت بزرگ با سهل‌انگاری به این کوچکی فقط به دلیل عدم انتخاب رمز عبور و سیستم رمزنگاری مناسب رخ دهد.

چگونه بفهمیم چه کسانی به AP ما وصل هستند ؟

این کار در قسمت تنظیمات مودم، امکان پذیر است. اگر به اندازه‌ی کافی اطلاعات ندارید از آشنایان و کسانی که واردتر هستند بخواهید که چگونگی این امر را به شما نشان دهند. از گوگل هم می‌توانید کمک بگیرید. یا از افراد متخصص بخواهید تا شما را راهنمایی کنند.

راه چاره چیست ؟

بر اساس یک سری تحقیقات و آزمایشات بسیار مقدماتی می‌توان نشان داد که کرک کردن یک رمز به طول 8 کاراکتر (‌با تمام با حالت‌های صفحه کلید‌) با استفاده از قدرتی معادل هزار تا PCمعمولی تقریبا حدود یک سال زمان می‌برد در نتیجه این کار بسیار زمان‌بر، دشوار و تقریبا ناشدنی است. با این وجود نفوذ فیزیکی به چنین سیستمی آسان‌تر خواهد بود !

از جملات بالا می‌توان نتیجه گرفت که انتخاب یک عبارت 8 کاراکتری برای رمز عبور یک Access point که از سیستم رمزنگاری WPA-PSK وWPA2-PSK استفاده می‌کند بسیار معقولانه و امن است.

با توجه به تذکرات ساده بالا،استفاده از یک عبارت 8 کاراکتری،شبیه asj56ds2 همراه با رمزنگاری WPA-PSK هم به دلیل عدم تشخیص از راه‌های معمولی (حدس زدن و... ) و هم از نظر زمان طولانی جهت کرک بسیار مناسب می‌باشد.

مشکل بسیاری از کاربران ایرانی به خصوص کاربران مسن‌تر و خانواده‌ها به خاطر سپردن رمزهای طولانی و پیچیده است، در خصوص این مشکل به چنین کاربرانی توصیه می‌شود که از یک سری الگو‌ها استفاده کنند. در زیر شرح مفصلی از این روش‌ها را بررسی می‌کنیم.

چگونه از WPA-PSK استفاده کنیم ؟

از Provider اینترنت خود بخواهید هنگامی که شرکت تامین کننده‌ی اینترنت شما شخصی را می‌فرستد که تنظیمات مودم شما را انجام دهد، از او بخواهید که از WPA استفاده کند. این امر با توجه به توضیحات بالا کاملا الزامی است. (در صورت عدم داشتن دانش کافی در این مورد، گوگل و افراد متخصص می‌توانند موارد خوبی باشند)

به خاطر سپردن رمز عبور

    • بدین صورت شما یک الگوی خاص را که زاییده‌ی ذهن شماست و فقط شما از آن خبر دارید را برای انتخاب رمزعبور استفاده می‌کنید. برای مثال پدری با دو فرزند آرش و مینا که به ترتیب 5 و 9 سال سن دارند را در نظر بگیرید، پدر پسورد am14pf08 را برمی‌گزیند که a اول اسم آرش، m اول اسم مینا، 14 جمع سن آنها، p و f اول اسم شما و همسر شما است و 08 تفریق سن شما است. شاید این سوال برای شما پیش بیاید که شما از اسم خود در رمز عبور استفاده کردید که در ابتدای مقاله به پرهیز از این امر پرداخته شده بود، باید به شما بگویم این کار تحت یک الگویی است که فقط شما می‌دانید و اینکه اسم شما کامل نیست بلکه حرف اول است (این فقط یک مثال است ممکن است در الگوی شما حرف آخر یا دوم باشد). بدین ترتیب هم این کلمه عبور امن و هم به خاطر سپردن آن راحت است.
    • روش بعد استفاده حروف اول، آخر یا دوم یک عبارت کاملا خیالی است، برای مثال عبارت انگلیسی there are 2 cats in the 3 cages که re are 2 cat in the 3 cages را در نظر بگیرید، رمز عبور شما برای حروف اول ta2cit3c و برای حالت‌های دیگر به ترتیب ee2sne3s وhr2anh3a است.
    • این روش همان شماره موبایل شماست البته با کمی تغییرات. دو حرف از حروف شماره موبایل خود را به طور تصادفی با حروف تصادفی تعویض کنید. برای مثال 9120g227w7 که رمز عبور امنی می‌باشد (دو حروف g،w لازم نیست معنای خاصی بدهند فقط آنها را به خاطر بسپرید یا از الگوی شخصی استفاده کنید)

 

یک نکته مهم

استفاده از حروف بزرگ در رمز عبور 8 رقمی شما، میزان سختی برای بدست آوردن آن را 77 برابر افزایش می‌دهد!!! این نسبت بسیار تکان‌دهنده است به طوری که رمز عبور شما را به یک عبارت مستحکم در مقابل نفوذگران تبدیل می‌کند.


شنبه ٤ مهر ١٣٩٤ ٠٨:٣٠ Notifications ١٠٥٤٥