یک محقق امنیتی اخیراً اقدام به انتشار 10 میلیون نام کاربری و پسورد نمود که طی حملات و نشت اطلاعات وبسایتهای مختلف در دهه اخیر درز شده بودند. این اقدام وی شاید از نظر بسیاری از افراد خیلی متعارف نباشد ولی یقیناً میتواند به تحقیقات در حوزه امنیت اطلاعات کمک نماید.
مارک برنت (Mark Burnett) محقق و مشاور امنیتی ساکن یوتای آمریکا، که تاکنون کتابهای بسیاری در زمینهی شبکه و امنیت نوشته است، میگوید این داده ها از نشت اطلاعات صورت گرفته در وبسایتهای متعددی از جمله شرکتهای بزرگی نظیر Adobe Systems یا هک یا حمله به وبسایت موسسه تحقیقاتی استراتفور (Stratfor) جمع آوری شده که دادههای درزشده تماماً توسط هکرها منتشر شده بوده و هم اکنون هم شاید در خیلی از وبسایتها یافت شود.
اغلب این پسوردها دیگر معتبر نیستند و مارک برنت برای اینکه این اقدام برای کاربرانی که به هر دلیلی اطلاعات کاربری خود را هنوز تغییر ندادهاند مشکل ساز نگردد، آدرس وبسایتهای مربوطه را از لیست حذف نموده است. و به عقیده وی نام کاربری و کلمات عبوری که همچنان مورد استفاده قرار میگیرند میبایست توسط کاربران تغییر یابد.
برنت طی یک مصاحبه تلفنی همچنین اظهار داشت که اصلاً قصد ایجاد مشکل برای کاربران را نداشته است. او که 15 سال به مطالعه و تحقیق در حوزه ی امنیت کلمه عبور پرداخته است، یکبار دیگر عنوان کرد که این اطلاعات تماماً از منابع عمومی و همچنین اطلاعات درزشده از منابع مختلف دیگری نظیر تالارهای گفتگو یا فایلهای منتشر شده بر روی شبکه های تورنت و غیره برداشته شده است.
این محقق امنیتی در توجیه این اقدام اظهار داشت که این مجموعه اطلاعات برای اهداف تحقیقاتی و آموزشی در حوزه امنیت و همچنین امنیت احراز هویت میتواند کاملاً مفید واقع شود.
وی با جمع آوری این اطلاعات و حذف اطلاعات کاربریهای تکراری و وبسایت های مربوط به هرکدام، آنها را در قالب یک فایل متنی txt منتشر نموده است که بنا بر گفته وی در وبلاگش علاقهمندان زیادی تاکنون آن را دریافت و در حال مطالعه و بررسی آن میباشند.
شایان ذکر است، بنابر اولین برداشتی که میتوان از این دادهها داشت، 100 کلمه عبوری که بیشترین استفاده را داشتهاند، طی این سالها تغییر زیادی نکرده اند و از آن تأسف برانگیزتر این است که خیلی از کاربران از نام کاربری و کلمه عبور مشترکی برای چند وبسایت استفاده نموده اند و این خود جای نگرانی دارد که چرا کاربران با توجه به ترفندها و اطلاع رسانیهای کارشناسان امنیتی شرکتهای بزرگی نظیر کسپرسکی* که مثلاً به آموزش انتخاب و به خاطر سپردن پسورد قدرتمند و غیرتکراری میپردازد، همچنان اقدام به استفاده از کلمات عبور ضعیف و یا تکراری مینمایند، که در صورت نشت اطلاعات در یک وبسایت، سایر حسابهای کاربری آنان نیز ممکن است براحتی هک و درز شود (کاری که تقریباً تمام هکرها پس از حمله یک وبسایت میکنند).
یکی از توجیهاتی که کاربران در این خصوص دارند، نداشتن اطلاعات خیلی حساس همراه با حساب کاربری ایجاد شده روی آن وبسایت و یا تالار گفتگو میباشد ولی نمیدانند که این حملات در اغلب موارد منجر به سودجویی از طریق سرقت هویتی از کاربران شده و میتواند هم برای خود آنان و هم برای سایر افراد مشکل ساز شود.
اگر شما نیز در انتخاب کلمات عبور و امنیت حسابهای کاربری آنلاین خود تاکنون کمی تنبلی یا کوتاهی نموده اید، پیشنهاد میکنیم مقالات شرکت امنیتی کسپرسکیرا نیز در این خصوص مطالعه نمایید:
چند ترفند برای انتخاب و به خاطر سپردن کلمه عبوری قدرتمند
امنیت پسوردتان را در این صفحه محک بزنید!
25 پسورد محبوب و البته ضعیف 2014 با بیشترین استفاده
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.