روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در سال گذشته کلی اخبار از نشت داده‌های شخصی از سرویس‌های آنلاین  و حتی از مدیرهای کلمه عبور محبوب شنیدیم. اگر از صندوق دیجیتال[1] استفاده می‌کنید، موقع شنیدن اخبار نشت داده شاید یک سناریوی وحشتناک را در سر خیال کنید: مهاجمین به همه اکانت‌هایی که پسوردهایشان در مدیر کلمه عبور شما ذخیره‌اند دسترسی پیدا کرده‌اند. اما این ترس‌ها توجیه دارند؟ در ادامه مدیر کلمه عبور کسپرسکی را مثال زده‌ایم و ساز و کار لایه‌های مختلف دفاعی پسورد منیجرها را توضیح و همچنین راهکارهایی برای قوی‌تر کردن لایه محافظتی آن‌ها ارائه داده‌ایم. با ما همراه بمانید.

اصول کلی

برای شروع، بگذارید بررسی کنیم چرا پسورد منیجرها ایده خوبی هستند. تعداد سرویس‌های آنلاینی که ما استفاده می‌کنیم هر روز بیشتر می‌شود و این یعنی وارد کردن کلی نام کاربری و کلمه عبور. یادآوری آن‌ها همیشه سخت بوده و تازه سخت‌تر نیز خواهد شد و البته نوشتن آن‌ها در مکان‌های رندوم هم خطرات بسیاری دارد. راهکار روشن این است که همه اطلاعات مهم لاگین را در یک مکان امن ذخیره کرده و بعد آن صندوق را با یک کلید واحد قفل کنیم. بنابراین فقط کافیست همان یک رمز را به خاطر بسپارید.

وقتی ابتدا از مدیر کلمه عبور کسپرسکی استفاده می‌کنید، از شما می‌خواهد پسورد اصلی که با آن صندوق دیجیتال را باز و بسته می‌کنید بسازید. سپس می‌توانید این صندوق را پر کنید از داده‌های هر سرویس اینترنتی که استفاده می‌کنید: یوآرال، نام کاربری و پسورد. این کار را دستی هم می‌توانید انجام دهید یا حتی می‌توانید افزونه مرورگر پسورد منیجر راه‌اندازی کرده، از فرمان خاصی برای انتقال همه پسوردهای ذخیره‌شده در مرورگرهای صندوق استفاده نمایید. جدا از پسوردها، می‌توانید سایر داکیومنت‌های شخصی را نیز به صندوق اضافه کنید برای مثال اسکن آی‌دی، داده بیمه، اطلاعات کارت اعتباری و عکس‌های مهم. وقتی نیاز باشد به وبسایتی سر بزنید، صندوق را باز کرده و بعد یا می‌توانید بطور دستی داده‌های مورد نیاز را از لاگین کپی کنید یا بگذارید پسورد منیجر اطلاعات لاگین ذخیره‌شده برای وبسایت را اتوفیل (پر کردن خودکار) کند. فقط کافیست صندوق را قفل کنید.

صندوق دیجیتال و قفل خودکار

اکنون بیایید نگاهی داشته باشیم بر مکانیزم محافظتی. فایل صندوق با استفاده از الگوریتم رمز متقارن بر اساس استاندارد Advanced Encryption (AES-256) که عموماً در سراسر جهان از آن برای محافظ از داده استفاده می‌کنند رمزگذاری می‌شود. شما برای دسترسی به صندوق از کلیدی بر اساس پسورد اصلی‌تان استفاده می‌کنید. اگر پسورد قوی باشد مهاجمین به کل زمان برای کرک کردن رمز نیاز دارند. همچنین مدیر کلمه عبور ما به طور خودکار بعد از اینکه کاربر پس از مدت خاصی دست از فعالیت می‌کشد صندوق را قفل می‌کند. اما اگر عادت دارید از لپ‌تاپ یا اسمارت‌فون خود در جاهایی که اغلب امن نیستند استفاده کنید می‌توانید زمان قفل خودکار را بسته به نیاز خود تنظیم نمایید.

البته یک حفره احتمالی وجود دارد: اگر مهاجم روی کامپیوتر شما تروجانی کاشته باشد یا از متود دیگری برای نصب پروتکل دسترسی ریموت استفاده کرده باشد باید سعی کنید پسوردها را از صندوق درست زمانیکه لاگین هستید استخراج کنید. در سال 2015 چنین ابزار هکی برای مدیر کلمه عبور KeePass ساخته شد. به عنوان فایلی جداگانه همه آرشیو را با پسوردش که داشت روی کامپیوتری با نمونه باز KeePass اجرا می‌شد رزگشایی و ذخیره کرد. با این حال مدیر کلمه عبور کسپرسکی معمولاً در کنار راهکارهای آنتی‌ویروس کسپرسکی استفاده می‌شود و این باعث می‌شود کمتر روی کامپیوتری آلوده اجرا شود.

دانایی صفر[2]

همچنین می‌توانید (با هر دستگاهی) از طریق وبسایت کسپرسکی نسخه وبی این کلمه عبور را نیز تهیه کنید. چقدر احتمال دارد در صورت استفاده از ذخیره کلود، نشت داده رخ دهد؟ ابتدا اینکه مهم است درک کنیم داریم بر اساس اصل دانایی صفر عمل می‌کنیم. این یعنی صندوق پسورد شما هم برای کسپرسکی هم برای افراد دیگر رمزگذار شده است. توسعه‌دهدگان کسپرسکی نخواهند توانست فایل را بخوانند- فقط فردی که پسورد اصلی را دارد می‌تواند آن را باز کند. بسیاری –اما نه همه- سرویس‌های امروزی که پسوردها را و سایر اطلاعات محرمانه ذخیره می‌کنند به این اصل متکی‌اند.

بنابراین چنانچه گزارشاتی در مورد نشت داده از سرویس ذخیره کلود شنیدید هول نکنید: لزوماً به این معنا نیست که مهاجمین توانسته‌اند داده‌های سرقتی را رمزگشایی کنند. این نوع نقض مانند سرقت گاوصندوق بانک است بدون اینکه بدانیم رمزش چیست! منظور ما در خصوص صندوق دیجیتال همان رمز اصلی است. اصل امنیت مهم دیگر این است: مدیر کلمه عبور کسپرسکی روی دستگاه‌های شما یا کلود پسورد اصلی‌تان را ذخیره نمی‌کند. حتی اگر هکر به کامپیوتر یا سرویس ذخیره کلود شما دسترسی پیدا کرد نخواهند توانست از خود محصول پسورد اصلی را بدزدند. فقط شما این رمز را می‌دانید.

رمز اصلیِ قوی

با این وجود، نشت فایل رمزگذاری‌شده با پسوردهایش همچنین می‌تواند مشکل‌ساز باشد. وقتی مهاجمین صندوق را رد کنند نوبت به هک آن می‌رسد. دو متود حمله اصلی وجود دارد: اولی حمله جستجوی فراگیر است. به طور کلی این حمله خیلی زمان‌بر است. اگر پسورد شما از کلی کاراکتر تصادفی برخوردار بوده و شامل حروف بزرگ و کوچک، عدد و حرف خاص شود حمله به شدت طولانی خواهد شد. اما اگر پسورد ضعیفی برای پسورد اصلی‌تان انتخاب کرده باشید –مانند کلمه‌ای واحد یا ترکیب راحتی متشکل از عدد مانند 1234- اسکنر خودکار کمتر از یک ثانیه رد آن را می‌زند چون در این سناریو جستجوی فراگیر نه بر اساس سمبل‌های فردی که بر اساس دیکشنری‌ای از ترکیب‌های محبوب است.

با همه اینها تا امروز بسیاری از کاربران پسوردهای دیکشنری (ترکیبی از سمبل‌هایی که مدت‌هاست در دیکشنری اسکنرهای هکرها وجود دارند) استفاده می‌کنند. کاربران مدیر کلمه عبور LastPass دسامبر 2022 در خصوص این مشکل احتمالی هشدار دریافت کرده بودند. وقتی اکانت توسه‌دهنده  LastPass هک شد، مهاجمین به میزبانی کلودی که کامپیوتر استفاده می‌کرد دسترسی پیدا کردند. از میان سایر داده‌ها آن‌ها به بک‌آپ پسوردهای صندوق کاربران دست یافتند. این شرکت به کاربران گفت اگر همه به توصیه‌های مربوط به ساخت پسورد اصلی قوی و منحصر به فرد عمل کرده بودند دیگر جای نگرانی نبود چون میلیون سال‌ها سال طول می‌کشید تا جستجوی فراگیر بتواند چنان رمز قوی‌ای را حدس بزند. افرادی که رمز اصلی‌شان ضعیف‌تر بود قرار شد فوراً آن‌ها را عوض کنند. خوشبختانه بسیاری از مدیر کلمه عبورها از جمله Kaspersky Password Manager اکنون خودکار میزان قوی بودن پسورد اصلی را چک می‌کنند. اگر ضعیف بشد یا به طور متوسط قوی باشد، مدیر کلمه عبور هشدار می‌دهد و مطمئن می‌شود آن را تغییر داده‌اید.

پسورد اصلی منحصر به فرد

دومین متود هک روی این حقیقت حساب باز می‌کند که افراد اغلب برای سرویس‌های اینترنتی مختلف از یک اطلاعات لاگین استفاده می‌کنند. اگر یکی از سرویس ها نقض شود مهاجمین خودکار ترکیب‌های پسورد و نام کاربری سایر سرویس‌ها را در حمله‌ای به نام «دستکاری اطلاعات[3]» جستجوی فراگیر می‌کنند. این نوع حمله اغلب موفق عمل می‌کند. کاربران Norton Password Manager در خصوص چنین حمله‌ای هفته‌های اول سال جاری هشدار دریافت کردند.

شرکت NortonLifeLock (که سابقاً با نام Symantec فعالیت می‌کرد) اعلام نمود زیرساخت آن اصلاً مورد نقض قرار نگرفته. اما در اوایل دسامبر 2022، تلاش‌های گسترده برای ورود به حساب‌های Norton Password Manager با استفاده از گذرواژه‌هایی که هکرها به دلیل نقض سرویس دیگری دزدیده بودند، ثبت شد. بررسی‌های NortonLifeLock نشان داد هکرها توانسته‌اند از این حمله برای دسترسی به حساب‌های برخی از مشتریان خود استفاده کنند. از این داستان به روشنی می‌توان چنین درس گرفت که نباید از رمز عبور یکسان برای حساب‌های مختلف استفاده کنید.

در مورد راه های فنی برای محافظت از خود در برابر این نوع حملات، Kaspersky Password Manager می‌تواند دو بررسی مهم از پایگاه داده رمز عبور شما را انجام دهد. ابتدا، منحصر به فرد بودن را بررسی می‌کند: اگر یکی از رمزهای عبور ذخیره شده شما در چندین حساب استفاده شود، برنامه به شما هشدار می‌دهد. دوم، مدیر رمز عبور ما بررسی می‌کند آیا گذرواژه‌های شما در پایگاه داده نقض‌شده قرار دارند یا خیر. برای انجام ایمن این بررسی رمز عبور، از الگوریتم هش رمزنگاری SHA-256 استفاده می‌کند. این بدان معنی است که برنامه خود رمزهای عبور را برای بررسی ارسال نمی‌کند. در عوض، برای هر رمز عبور یک چک‌سوم محاسبه و این هش‌ها را با چک‌سام‌های موجود در پایگاه داده گذرواژه‌های در معرض خطر مقایسه می‌کند. اگر مجموعه مقابله‌ای[4] به هم بخورد، برنامه به شما هشدار می‌دهد که رمز عبور به خطر افتاده است و باید آن را تغییر دهید. اما به یاد داشته باشید که این بررسی‌ها فقط با رمزهایی که در صندوقذخیره می‌کنید انجام می‌شود. این به شما بستگی دارد که مطمئن شوید رمز عبور اصلی منحصر به فرد است: شما تنها کسی هستید که آن را می‌دانید و باید با رمزهای دیگرتان متفاوت باشد.

پسورد اصلی قابل حفظ کردن

راه‌های دیگری برای افشای رمزهای عبور اصلی وجود دارد - و اینجاست که عامل انسانی مخوف وارد عمل می‌شود. به عنوان مثال، برخی از افراد رمز اصلی خود را در جایی که امکان سرقت آن وجود دارد، یادداشت می‌کنند، مانند یک فایل رمزگذاری نشده روی دسکتاپ خود یا دیوار محل کارشان می‌چسبانند. به جای نوشتن آن، سعی کنید آن را به خاطر بسپارید. درست است که قوانین امنیتی می‌گویند یک رمز عبور باید طولانی و پیچیده باشد - گاهی اوقات حتی از ما خواسته می‌شود که ترکیبی تصادفی از 12 تا 16 کاراکتر ایجاد کنیم. به خاطر سپردن چنین پسوردی سخت است.

به همین دلیل است که بسیاری از افراد سعی می‌کنند از رمزهای عبور ساده‌تر استفاده کنند و سپس هدف هک قرار می‌گیرند. پس چطور می‌شود مطمئن بود پسورد اصلی هم قوی است هم قابل حفظ کردن؟ استراتژی خوب این است که پسورد بر اساس سه یه چهار کلمه محرمانه باشد. برای مثال می‌توانید اسم شهری را که بهترین سفر تفریحی را بدان داشتید انتخاب کنید، یا نام محلی که بهترین نوشیدنی را خوردید. چنین پسوردی طولانی و منحصر به فرد است و البته راحت می‌شود حفظش کرد.

[1] Digital vault

[2]در رمزنگاری روشی است که طرف (اثبات‌کننده) می‌تواند به طرف (تصدیق‌کننده) ثابت کند بیانیهٔ ارائه‌شده صحیح است. این روش فقط صحت بیانیه را تصدیق می‌کند و هیچ اطلاعات اضافه‌ای را بجز این حقیقت که بیانیه واقعاً صحت دارد ارسال نمی‌کند.^[۱]

[3] credential stuffing

[4]Checksumsالگوریتمی است که برای بررسی درستی اطلاعات در مقصد استفاده می‌شود و در شبکه بسیار کاربرد دارد. در سرجمع تمام داده های موجود در یک پیام با هم جمع می شوند و به حاصل آن سرجمع گفته می شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.