روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اولین پنجشنبه‌ی ماه مِی روز بخصوصی است. بیش از یک دهه است که این روز، به عنوان روز جهانی پسورد شناخته شده است. این برای تیم کسپرسکی روز مناسبت ویژه‌ای است؛ شاید مهمانی‌ نگیریم اما در عوض از این  فرصت استفاده می‌کنیم تا یکی از مهمترین چیزها را در زندگی به شما یادآور شویم: بله درست است، پسوردها! از این رو قصد داریم در این مقاله از نحوه ساخت پسوردها بگوییم؛ همینطور جایی که باید ذخیره شوند و اینکه چرا 12345 نمی‌تواند پسورد قوی و خوب باشد.

این مقاله بسیار حائز اهمیت است زیرا خیلی از مردم هنوز به پسوردهای ضعیف از مجدد استفاده‌شده که راحت می‌شود حدسشان زد و مدام هم به دست هکرها می‌افتند متکی‌اند. در اینجا می‌گوییم چرا این اتفاق تکرار می‌شود و چطور می‌شود برای آن راهکار پیدا کرد.

چطور نشتی‌ها را کشف کنیم؟

شبکه هوش تهدید جهانی ما (شبکه امنیتی کسپرسکی[1] یا به اختصار KSN) نقش کلیدی ایفا می‌کند: از سراسر جهان داده‌های تهدید سایبری را جمع و تحلیل می‌کند؛ این داده‌ه بیشترشان توسط مشتریان به طور ناشناس و داوطلبانه ارائه شده‌اند. این داده‌ها که دپرسونالیزه (خارج شدن از حالت شخصی) شدند توسط الگوریتم‌های یادگیر ماشین و متخصصین انسانی ما تحلیل می‌شوند و همین ما را قادر می‌سازد تا سریعاً به تهدیدهای سایبری در حال ظهور واکنش نشان دهیم: متوسط زمان بین ظاهر شدن تهدید جدید و اینکه شرکت‌کنندگان KSN آن را متوجه شوند فقط 40 ثانیه است. به لطف شبکه امنیتی کسپرسکی ما می‌دانیم که در سال 2023 بیش از 32 میلیون حمله به پسوردهای کاربران KSN شد. در سال 202 این تعداد بالاتر بود- 40 میلیون حمله! و این یعنی تلاش برای هک پسورد بیش از یکبار بر ثانیه در جهان رخ می‌دهد! افزون بر این پژوهش آخرمان در سال 2023 نشان داد این حملات نه تنها بر کاربران خانگی که بر کسب و کارها نیز اثر می‌گذارد. 76 درصد از کارافرینان تجارت‌های کوچک که از آن‌ها نظرسنجی شده بود گفتند دست کم در 2 سال اخیر با یک رخداد سایبری مواجه شدند و 24 درصد (یک چهارم حملات) بخاطر استفاده از پسوردهایی بوده که یا ضعیف بودند یا تکرار شدند و یا قدیمی بودند.

چطور داده‌هایمان را بررسی کنیم؟

ما از سه روش برای بررسی اینکه آیا داده‌ها و رمزهای عبور شما به خطر افتاده‌اند استفاده می‌کنیم:

•         از طریق آدرس ایمیل برای Kaspersky Standard، Kaspersky Plus و Kaspersky Premium.  ساده است: آدرس‌های ایمیلی را که خود و نزدیکانتان برای حساب‌های آنلاین استفاده می‌کنید وارد برنامه می‌کنید. اگر هر یک از داده‌های شخصی شما، از جمله گذرواژه‌ها، به اینترنت یا وب تاریک لو رفته است، به شما می‌گوییم. مطمئن باشید، برنامه ما خود داده‌های در معرض خطر را دریافت یا ذخیره نمی‌کند، بلکه فقط اطلاعاتی در مورد نوع آن ارائه می‌دهد. اگر نقضی شامل رمز عبور، آدرس منزل، اطلاعات شناسه یا پاسپورت، شماره کارت بانکی یا هر ترکیبی از آنها شود، به شما هشدار می‌دهیم. و ما فقط به شما هشدار نمی دهیم؛ ما همچنین از کارشناسان امنیت سایبری خود در مورد اقدامات مناسب توصیه می‌کنیم، زیرا انواع مختلف نشتی‌ها به پاسخ های خاصی نیاز دارند.
•         با شماره تلفن Kaspersky Premium.  این روش مشابه بررسی ایمیل عمل می‌کند، اما روی حساب‌هایی تمرکز می‌کند که نه به آدرس‌های ایمیل، بلکه به شماره تلفن‌ها مرتبط هستند. این حساب‌ها اغلب به خدمات «جدی‌تری» مانند بانک‌ها، مؤسسات دولتی و بازارهای آنلاین بزرگ تعلق دارند، جایی که نشت داده‌ها می‌تواند عواقب شدیدی داشته باشد. فقط باید شماره تلفن خود را در برنامه مشخص کنید تا بررسی کنیم که آیا در نشت داده‌ها ظاهر شده است یا خیر. شما حتی می‌توانید نه تنها شماره خود، بلکه شماره تمام خانواده و بستگان خود را نیز بررسی کنید. بهترین بخش این است که فقط باید یک بار آدرس ایمیل و شماره تلفن را وارد کنید. ما از آن به بعد به طور مداوم وب را برای نشت نظارت خواهیم کرد. اگر داده‌هایتان در معرض دید قرار گیرد، یک هشدار فوری با توصیه‌هایی درباره کارهایی که باید انجام دهید دریافت خواهید کرد.
•         توسط الگوریتم ویژه در Kaspersky Password Manager.  برخلاف دو روش قبلی که تمام سناریوهای نشت احتمالی را بررسی می‌کنند، مدیر رمز عبور ما بر تجزیه و تحلیل رمزهای عبوری که در آن ذخیره می‌کنید تمرکز می‌کند. حتی در حالت آفلاین، می‌توانیم به شما بگوییم کدام یک از رمزهای عبور شما ضعیف هستند یا دوباره استفاده می‌شوند و کدام یک به اندازه کافی قوی هستند. علاوه بر این، Kaspersky Password Manager به طور منظم همه گذرواژه‌های شما را در برابر پایگاه داده‌های اعتبار به خطر افتاده بررسی و شما را از موارد مطابقت مطلع می‌کند.

همچنین می‌توانید با استفاده از سرویس جستجوگر گذرواژه آنلاین ما بررسی کنید که آیا رمز عبور به خطر افتاده است یا نه. به سادگی رمز عبوری را که می‌خواهید بررسی کنید وارد نموده سیستم به شما خواهد گفت که چند بار در پایگاه داده های لو رفته ظاهر شده و آیا می‌توان آن را ایمن در نظر گرفت یا خیر.

با این وجود، متود مذکور در مقایسه با سه مورد قبلی یک ایراد دارد: نیاز به بررسی‌های دستی دارد و این درحالیست که مدیر کلمه عبور کسپرسکی، کسپرسکی پلاس و کسپرسکی پریمیوم به صورت خودکار نشتی‌ها را در پس‌زمینه نظارت می‌کنند. پس آیا کسپرسکی پسورد همه کاربران خود را ذخیره می‌کند؟ مطلقاً نه. هیچیک از کارمندان شرکت از توسعه‌دهنده گرفته تا تحلیلگر، ویراستار، طراح و یا حتی خود یوجین کسپرسکی به داده‌های حساس شما دسترسی ندارند. ما قبلاً در مورد خط‌مشی دانش صفر به تفصیل توضیح دادیم. در زیر هم توضیح خواهیم داد چرا نمی‌توانیم به پسوردهای شما که در مدیر کلمه عبور کسپرسکی ذخیره‌اند دسترسی داشته باشیم:

چرا ذخیره پسوردها در مدیر کلمه عبور کسپرسکی راحت‌تر و امن‌تر است؟

حفظ کردن همه پسوردها و حفظ آن‌ها مانند نوشتنشان در جایی می‌تواند ریسک باشد. مدیر کلمه عبور کسپرسکی مشخصاً برای همین کار طراحی شده. این ابزار پسوردهای قوی و منحصر به فرد ساخته، ذخیره‌شان کرده و روی وبسایت‌ها و اپ‌ها آن‌ها را وارد می‌کند؛ دستکاری‌شدنشان را چک نموده و کدهای احراز هویت دوعاملی نیز تولید می‌کند. تمام رمزهای عبور شما با استفاده از الگوریتم رمزگذاری متقارن AES-256 در یک صندوق ذخیره می‌شوند. این استاندارد رمزگذاری توسط NSA ایالات متحده به اندازه کافی قوی است که برای ذخیره اسرار دولتی استفاده می‌شود. کلید رمزگذاری رمز عبور اصلی شما است که در طول راه اندازی اولیه برنامه ایجاد می‌کنید. هر بار که سعی می کنید به مخزن داده دسترسی پیدا کنید، Kaspersky Password Manager از شما این رمز عبور را می‌خواهد و از آن برای رمزگشایی داده ها استفاده می‌کند. شما می‌توانید نه تنها رمزهای عبور، بلکه سایر شماره های کارت بانکی خط داده مهم، اسناد اسکن شده، یادداشت‌ها و غیره را در همان صندوق نگهداری کنید. بنابراین، داده‌های محرمانه شما در بین تمام دستگاه های شما به صورت رمزگذاری شده "فوق سری" ذخیره و همگام سازی می‌شود. این سطح از امنیت بسیار فراتر از ذخیره رمز عبور در مرورگرها است. ما توصیه می‌کنیم با پیشنهادات مداوم مرورگر خود برای ذخیره رمزهای عبور خود موافقت نکنید - چنین رمزهای عبور را می‌توان در عرض چند ثانیه از مرورگر استخراج کرد.

دسترسی به صندوق رمزگذاری شده در Kaspersky Password Manager منحصراً از طریق رمز عبور اصلی شما اعطا می شود. ما این رمز عبور را نمی‌دانیم و هرگز آن را در جایی ذخیره نمی‌کنیم. اگر آن را فراموش کنید، محتویات خزانه غیر قابل بازیابی خواهد بود و باید یک خزانه جدید ایجاد کنید. این رویکرد بالاترین سطح امنیت را تضمین می‌کند: حتی اگر یک هکر به نحوی به صندوق رمزگذاری‌شده Kaspersky Password Manager دسترسی پیدا کند، نمی‌تواند رمز عبور، جزئیات کارت بانکی یا سایر اسناد ذخیره شده شما را کشف کند.

اگر در وهله اول رمزهای عبور شما را نمی‌دانیم، چگونه می‌توانیم گذرواژه‌های شما را برای لو رفتن بررسی کنیم؟

اینجاست که الگوریتم هش ایمن 1 SHA-1)  ) مفید است. هر داده ای را می‌گیرد و از آن برای ایجاد یک مقدار هش استفاده می‌کند - یک رشته باینری با طول ثابت که منحصر به داده های ورودی است. برای مثال، اگر رمز عبور واقعی شما qwerty12345 باشد، نمایش  زبان SHA-1  آن به این صورت خواهد بود: 4e17a448e043206801b95de317e07c839770c8b8.

هر رمز عبور منحصر به فرد همیشه یک هش را تولید می‌کند و اگر دو هش مطابقت داشته باشند، پسوردهای اصلی نیز مطابقت دارند. KSN هش‌های محاسبه‌شده را برای همه رمزهای عبور شناخته شده هک شده و لو رفته ذخیره می‌کند. برای بررسی رمز عبور شما، هش آن را به صورت محلی در دستگاه شما محاسبه می‌کنیم، سپس فقط نیمه اول این هش را به سرورهای کسپرسکی ارسال و همه هش‌های رمزهای عبور در معرض خطر را با شروع یکسان پیدا می‌کنیم. این هش‌ها به دستگاه شما بازگردانده می شوند، جایی که هر یک از آنها با کل هش رمز عبور شما مقایسه می‌شود. اگر مطابقت دقیق پیدا شود، رمز عبور شما به خطر افتاده است. بنابراین، ما رمزهای عبور شما را نمی دانیم - آنها هرگز دستگاه شما را به صورت رمزگذاری نشده رها نمی‌کنند. از نظر تئوری بازیابی رمز عبور اصلی از هش آن امکان پذیر است، اما ... هش کامل رمزهای عبور شما نیز هرگز به هیچ کجا از دستگاه شما ارسال نمی شود! فقط قطعاتی از آنها برای مقایسه به سرورهای KSN ارسال می‌شود و بازیابی رمز اصلی از بخشی از هش آن غیرممکن است. بنابراین، بررسی رمزهای عبور شما برای نشت اطلاعات کاملاً ایمن است.

چطور پسورد اصلی را مدیریت کنیم؟

با Kaspersky Password Manager، فقط باید یک رمز عبور اصلی را به خاطر بسپارید. این برنامه از رمز عبور اصلی برای رمزگذاری دادههای شما در صندوق استفاده میکند. بنابراین توصیه میکنیم ایجاد کردنش آن را جدی بگیرید. استفاده از qwerty12345 به‌عنوان رمز عبور اصلی مانند این است که تمام اشیاء با ارزش خود را در گاوصندوق قرار دهید و سپس کلید را روی قفل بگذارید. برای آسان‌تر کردن فرآیند و اطمینان از اینکه رمز عبور را به خاطر می‌آورید، در اینجا نکته‌ای برای قوی‌تر کردن و در عین حال به یاد ماندنی کردن آن وجود دارد:

به یک عبارت، نقل قول، یا متن آهنگ مورد علاقه فکر کنید. یک حرف (نه لزوما اولین!) یا ترکیبی از حروف هر کلمه در عبارت را بردارید و کاراکترهای خاصی را بین آنها وارد کنید. حروفی که شبیه اعداد یا کاراکترهای خاص هستند را با نمادهای مربوطه جایگزین کنید.

مثلاً:

«نیرو در کنارت باد»

پسورد خوب لزوماً آنی نیست که سخت بشود به یادش آورد؛ آنی است که در برابر حملات مقاوم است. رمز عبور جدید ایجادشده خود را با استفاده از سرویس آنلاین Password Checker تست کنید. اگر تأیید کرد که رمز عبور شما قوی است، می‌توانید از آن به عنوان رمز اصلی Kaspersky Password Manager خود استفاده کنید. و این تنها رمز عبوری است که باید به خاطر بسپارید، زیرا مدیر رمز عبور ما همه گذرواژه‌های دیگر شما را در وب‌سایت‌ها و برنامه‌ها ایجاد، ذخیره و به‌طور خودکار پر می‌کند. اگر روش قدیمی ذخیره گذرواژه‌ها را ترجیح می‌دهید، از ترکیبی که ایجاد کرده‌اید به عنوان پایه استفاده کنید، و برای هر سرویس و وب‌سایت، یک «برنامه افزودنی» به آن اضافه کنید تا مطمئن شوید همه رمزهای عبور شما منحصر به فرد هستند. ما یک راهنمای مفصل در مورد این تکنیک داریم. و جالب است بدانید که بسیاری از سرویس‌ها، از جمله Kaspersky Password Manager، امکان ایجاد رمز عبور با استفاده از … شکلک‌ها و اموجی ها را فراهم می‌کنند.

جمع‌بندی

•         از محافظت قابل‌اعتماد استفاده کنید. این تضمین می‌کند رمز عبور و سایر داده‌های حساس شما ایمن هستند.
•         رمزهای عبور یادگاری ایجاد کنید. این تکنیک به شما کمک می‌کند رمزهای عبوری بسازید که هم از نظر رمزنگاری قوی و هم به راحتی قابل یادآوری هستند.
•         رمزهای عبور را در یک مدیریت رمز عبور ذخیره کنید. شما یک رمز عبور اصلی یک و تنها از نظر رمزنگاری قوی ایجاد می‌کنید و به خاطر می‌آورید، و ما با آن از تمام داده‌های ارزشمند شما محافظت می‌کنیم.
•         از گذرواژه‌ها در سرویس‌ها و وب‌سایت‌ها استفاده مجدد نکنید. نشت داده‌ها از یک سرویس می‌تواند رمز عبور شما را در معرض دید هکرها قرار دهد و به خطر انداختن سایر حساب‌های شما برای آنها آسان‌تر می‌شود. رمزهای عبور منحصر به فرد راه‌حلی است که به کمک شما می‌آید.
•         تا جایی که امکان دارد احراز هویت دو مرحله‌ای یا همان 2FA را فعال کنید. این یک لایه امنیتی اضافی به اکانت‌های شما اضافه می‌کند. حتی اگر رمز عبور شما به خطر بیفتد، کد منحصر به فرد 2FA از دسترسی غیرمجاز جلوگیری می‌کند. شما حتی می‌توانید توکن‌های 2FA را ذخیره و کدهای یکبار مصرف را در Kaspersky Password Manager ایجاد کنید.

[1] Kaspersky Security Network

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.