روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ جریان اطلاعاتی که ما هر روز با آن‌ها بمباران می‌شویم هرگز فروکش نمی‌کند. در سال ۲۰۲۵، فضای ذهنی کمتری برای نگهداری چیزهایی مانند رمز عبور ایمیلی که در سال ۲۰۲۰ برای ثبت‌نام مادرتان در یک بازار آنلاین ایجاد کرده بودید باقی می‌ماند. به مناسبت روز جهانی رمز عبور، که امسال در تاریخ ۱ می بود، پیشنهاد می‌کنیم کمی زمان صرف مقابله با فراموشی، رمزهای عبور ضعیف و مجرمان سایبری کنید. همان‌طور که کارشناسان ما بارها ثابت کرده‌اند، تنها مسئله زمان — و هزینه — مطرح است تا کسی که هدفش رمز عبور شما است، آن را کشف کند. در بسیاری از موارد، این کار زمان و هزینه بسیار کمی نیاز دارد. هدف ما این است که فرآیند کشف رمز عبور شما را تا حد امکان پیچیده کنیم، تا مهاجمین از تلاش برای دسترسی به داده‌های شما منصرف شوند.

مطالعه ما در سال گذشته نشان داد که الگوریتم‌های هوشمند — چه روی کارت گرافیک قدرتمندی مانند RTX 4090 اجرا شوند، چه روی سخت‌افزار ارزان‌قیمت ابری اجاره‌ای — می‌توانند ۵۹٪ از تمام رمزهای عبور جهان را در کمتر از یک ساعت کشف کنند. ما اکنون در مرحله دوم این مطالعه هستیم و به‌زودی اعلام خواهیم کرد که آیا وضعیت طی این سال بهبود یافته است یا خیر؛ پس برای دریافت اخبار به‌روز، در وبلاگ یا کانال تلگرام ما عضو شوید. گفت‌وگوی امروز ما فراتر از معرفی امن‌ترین روش‌های احراز هویت و شیوه‌های ساخت رمزهای عبور قوی است. ما به بررسی روش‌های به‌خاطرسپاری رمزها خواهیم پرداخت و به این پرسش پاسخ می‌دهیم که چرا استفاده از یک مدیر رمز عبور در سال ۲۰۲۵، ایده‌ای بسیار مناسب است.

چگونه در سال ۲۰۲۵ با امنیت بیشتری وارد حساب‌های کاربری شویم؟

امروزه چندین روش برای ورود به خدمات و وب‌سایت‌های آنلاین وجود دارد:

• استفاده از ترکیب سنتی نام کاربری و رمز عبور
• ورود از طریق یک سرویس طرف سوم مانند Google، Facebook، Apple و غیره
• احراز هویت دومرحله‌ای با یکی از روش‌های زیر:
• کد یک‌بار مصرف از طریق پیامک
• اپلیکیشن احراز هویت مانند Kaspersky Password Manager، Google Authenticator  یا Microsoft Authenticator
• کلید سخت‌افزاری مانند  Flipper، YubiKey یا توکن USB
• استفاده از رمز عبورهای بی‌واسطه  و احراز هویت بیومتریک

بدیهی است که هر یک از این روش‌ها می‌توانند در معرض خطر قرار بگیرند(برای مثال، رها کردن توکن سخت‌افزاری متصل به پورت USB یک رایانه بدون مراقبت در مکانی عمومی)یا با اقداماتی امن‌تر شوند (برای مثال، ایجاد رمزی پیچیده با بیش از ۲۰ کاراکتر تصادفی).

بنابراین، با وجود این‌که دوران رمزهای عبور سنتی هنوز به پایان نرسیده است، بیایید تلاش کنیم روش‌هایی برای ارتقا وضعیت فعلی پیدا کنیم؛ از جمله ساخت و به خاطر سپردن رمز عبوری که هم ایمن باشد و هم به‌راحتی در ذهن بماند.

چگونه یک رمز عبور پیچیده را به خاطر بسپاریم؟

پیش از پاسخ به این پرسش، بیایید برخی واقعیت‌های پایه‌ای درباره رمزهای عبور را مرور کنیم:

• طول پیشنهادی:بین ۱۲ تا ۱۶ کاراکتر
• ترکیب کاراکترها:استفاده از اعداد، حروف کوچک و بزرگ، و نمادهای خاص
• اجتناب از اطلاعات شخصی:رمز عبور نباید شامل اطلاعاتی باشد که به‌راحتی به کاربر نسبت داده می‌شود
• منحصربه‌فرد بودن:برای هر حساب کاربری باید رمز عبور متفاوتی داشته باشید

همه‌چیز واضح است؟ عالی. حالا برویم سر اصل مطلب: یک رمز عبور پیچیده به‌راحتی فراموش می‌شود، و یک رمز ساده به‌راحتی شکسته می‌شود. برای کمک به شما در رسیدن به تعادلی میان این دو، مجموعه‌ای از اصول شناخته‌شده اما همچنان مؤثر را برای ساخت رمزهای عبور قابل حفظ گردآوری کرده‌ایم.

سطح پایه
چند واژه بی‌ربط را مانند عباراتی که هنگام ثبت کیف پول‌های رمزارز به‌کار می‌روند، پشت سر هم قرار دهید. سپس چند عدد و نماد خاص که برای شما معنا دارند (اما حدس زدن‌شان برای دیگران آسان نیست) به انتهای آن اضافه کنید.

مثال:DryLandStandGift2015;)
واژه‌های کوتاه‌تر راحت‌تر به ذهن سپرده می‌شوند، و عدد انتخابی نباید سال تولد شما یا یکی از عزیزانتان باشد. در عوض، می‌توانید ترکیبی خاطره‌انگیز انتخاب کنید، مثل سال اولین سفر به دیزنی‌لند، شماره پلاک اولین خودروی‌تان، یا تاریخ ازدواج‌تان.

سطح پیشرفته
به یک جمله محبوب از یک آهنگ یا دیالوگی به‌یادماندنی از یک فیلم فکر کنید، سپس هر دومین یا سومین حرف آن را با نمادهایی خاص جایگزین کنید — نمادهایی که پشت سر هم روی صفحه‌کلید قرار ندارند. استفاده از کاراکترهای ویژه‌ای که به‌راحتی روی کیبورد گوشی (در حالت عددی) در دسترس هستند، این فرآیند را ساده‌تر می‌کند. این روش به شما امکان می‌دهد رمزی بسازید که هم قوی باشد، هم سریع تایپ شود، و هم زندگی‌تان را راحت‌تر کند.

مثال:اگر از طرفداران دنیای هری پاتر هستید، می‌توانید از ورد معروف Avada Kedavra الهام بگیرید — این بار نه برای نفرین، بلکه برای امنیت دیجیتال! بیایید این عبارت را با استفاده از روش بالا و کمی چاشنی حروف بزرگ و نمادها به شکل زیر درآوریم:
A!ad@Kd$vr%

در نگاه اول شاید این رمز عبور حفظ‌نشدنی به نظر برسد، اما تنها کافی است آن را دو یا سه بار تایپ کنید؛ خیلی زود می‌بینید که انگشتانتان خودبه‌خود سراغ کلیدهای درست می‌روند.

واگذاری تولید رمز عبور به شبکه‌های عصبی چطور است؟
با رشد اخیر ChatGPT و سایر مدل‌های زبانی بزرگ (LLM)، کاربران شروع به استفاده از این ابزارها برای تولید رمز عبور کرده‌اند. و مشخص است چرا این گزینه جذاب به نظر می‌رسد: به‌جای آن‌که برای ساختن یک رمز عبور قوی به ذهن خود فشار بیاورید، تنها کافی است از دستیار هوش مصنوعی بخواهید یکی برایتان بسازد — و بلافاصله نتیجه را دریافت می‌کنید. حتی می‌توانید از آن بخواهید رمز عبور را به شکل قابل حفظ بسازد.

با این حال، خطر استفاده از هوش مصنوعی به‌عنوان تولیدکننده رمز عبور قوی، این است که این ابزارها ترکیب‌هایی از کاراکترها تولید می‌کنند که فقط از نگاه انسان تصادفی به نظر می‌رسند. رمزهای تولیدشده توسط هوش مصنوعی به‌اندازه‌ای که در نگاه اول به‌نظر می‌رسند قابل اعتماد نیستند...

الکسی آنتونوف، سرپرست تیم علوم داده در کسپرسکی که مطالعه قبلی درباره قدرت رمز عبورها را انجام داده بود، با استفاده از ChatGPT، Llama و DeepSeek هرکدام هزار رمز عبور تولید کرد. مشخص شد هر مدل می‌دانست که یک رمز عبور خوب باید حداقل شامل دوازده کاراکتر باشد، و از حروف بزرگ و کوچک، اعداد و نمادهای خاص استفاده کند. با این حال، DeepSeek و Llama گاهی رمزهایی تولید می‌کردند که از واژه‌های لغت‌نامه‌ای تشکیل شده بودند و برخی حروف آن‌ها با اعداد یا نمادهای شبیه‌نما جایگزین شده بودند، مانند B@n@n@7 یا S1mP1eL1on. جالب این‌که هر دو مدل علاقه خاصی به رمز عبور Password داشتند و نسخه‌هایی مانند P@ssw0rd، P@ssw0rd!23، P@ssw0rd1 یا P@ssw0rdV تولید می‌کردند.

نیازی به گفتن نیست که این‌ها رمزهای امنی نیستند، زیرا الگوریتم‌های هوشمند حمله جست‌وجوی فراگیر، با ترفند جایگزینی حروف کاملاً آشنایند. عملکرد ChatGPT بهتر بود. در اینجا چند نمونه از رمزهایی است که تولید کرده است:

qLUx@^9Wp#YZ
LU#@^9WpYqxZ
YLU@x#Wp9q^Z
P@zq^XWLY#v9
v#@LqYXW^9pz

به نظر می‌رسد مجموعه‌هایی کاملاً تصادفی از حروف، کاراکترهای خاص و اعداد وجود داشته باشد. با این حال اگر با دقت بیشتری نگاه کنید برخی الگوها را پیدا می‌کنید. برخی کاراکترها بعنوان مثال  9, W, p, xو L از بقیه بیشتر استفاده شدند. ما یک هیستوگرام[1] از فراوانی کاراکتر برای همه پسوردهای تولیدشده جمع کرده‌ایم و اینها یافته‌های ما هستند: حروف مورد علاقه چت‌جی‌پی‌تی x وp هستند، Llama عاشق کاراکتر # است و به همان اندازه p را هم دوست دارد و این درحالیست که دیپ‌سیک دیوانه‌ی t و w است. در این بین، یک مولد عدد تماماً رندوم هرگز هیچ حرف خاصی را بر بقیه مقدم نمی‌داند بلکه از هر کاراکتر درست به اندازه و مساوی با بقیه استفاده می‌کند و این باعث می‌شود پسوردها کمتر قابل‌پیش‌بینی باشند.

علاوه بر این، مدل‌های زبانی بزرگ (LLM) نیز مانند انسان‌ها، اغلب از درج نمادهای خاص یا اعداد در رمزهای عبور غفلت می‌کنند. بررسی‌ها نشان داد که ۲۶٪ از رمزهای تولیدشده توسط ChatGPT، ۳۲٪از رمزهای تولیدشده توسط Llama، و ۲۹٪ از رمزهای تولیدشده توسط DeepSeek فاقد این نمادها بودند. آگاهی از این جزئیات به مجرمان سایبری کمک می‌کند تا بتوانند رمزهای عبور تولیدشده توسط هوش مصنوعی را بسیار سریع‌تر از طریق حمله جست‌وجوی فراگیر شناسایی کنند. ما تمام مجموعه رمزهای عبور تولیدشده توسط هوش مصنوعی را از طریق همان الگوریتمی که در مطالعه قبلی استفاده کرده بودیم آزمایش کردیم، و به روندی نگران‌کننده رسیدیم: ۸۸٪ از رمزهای تولیدشده توسط DeepSeek و ۸۷٪ از رمزهای Llama به‌ اندازه کافی امن نبودند. ChatGPT عملکرد بهتری داشت — تنها ۳۳٪ از رمزهای آن ناامن بودند. متأسفانه، مدل‌های زبانی بزرگ توزیع واقعاً تصادفی ایجاد نمی‌کنند و خروجی آن‌ها قابل پیش‌بینی است. علاوه بر این، ممکن است همان رمز عبور را برای شما و سایر کاربران تولید کنند. پس چه باید کرد؟

رویکردی ترکیبی

ما استفاده از سرویس بررسی رمز عبورمان، و حتی بهتر از آن، مدیر کلمه عبور کسپرسکی را برای تولید رمز عبور توصیه می‌کنیم. این دو ابزار از تولیدکننده‌هایی با امنیت رمزنگاری‌شده استفاده می‌کنند که رمزهایی بدون الگوهای قابل تشخیص ایجاد نموده و همین موضوع تصادفی بودن واقعی آن‌ها را تضمین می‌کند. پس از تولید یک رمز عبور قوی، می‌توانید یک عبارت یادآور برای به‌خاطر سپردن آن بسازید. فرض کنیم که تولیدکننده رمز عبور به شما این ترکیب را می‌دهد:
HSVpk*VR0Gkq#R

عبارتی که می‌تواند در به‌خاطر سپردن این رمز به شما کمک کند ممکن است به شکل زیر باشد:
در یک وسیله نقلیه پرسرعت (HSV) از روی یک قله (pk) عبور می‌کنید و یک ستاره (*) را در واقعیت مجازی (VR) می‌بینید. سپس در شرایط بی‌وزنی (0G) سقوط می‌کنید و پادشاه و ملکه (kq) را پشت میله‌ها (#) درون برجی بزرگ به شکل رخ شطرنج (R) می‌بینید. تنها روش مؤثر برای حفظ چنین رمزهایی استفاده از تکنیک‌های یادآور است، بنابراین امیدواریم از تصاویر انتزاعی و عجیب لذت ببرید! همچنین می‌توانید صحنه‌ای را که رمزتان را توصیف می‌کند، مانند مثال بالا، رسم کنید. احتمالاً کسی جز خودتان مفهوم آن را نخواهد فهمید. این راه، روشی آسان برای به‌خاطر سپردن یک رمز عبور است.
اما اگر صدها رمز عبور داشته باشید، چه باید کرد؟

پس ماجرای ذخیره پسوردها در مرورگر چه می‌شود؟

این روش ایده خوبی نیست. برای حل مشکل به‌خاطر سپردن رمزهای عبور، توسعه‌دهندگان مرورگرها گزینه‌هایی برای تولید و ذخیره رمزهای عبور در خود مرورگرها فراهم کرده‌اند. این روش به‌طور طبیعی بسیار راحت است: مرورگر خود به‌طور خودکار رمز عبور را برای شما وارد می‌کند هر زمان که نیاز باشد. متأسفانه، مرورگر یک مدیر رمز عبور نیست و ذخیره‌سازی رمزهای عبور در آن بسیار ناامن است.

مشکل این است که مجرمان سایبری مدت‌ها پیش متوجه شدند چگونه می‌توانند با استفاده از اسکریپت‌های ساده، رمزهای عبور ذخیره‌شده در مرورگرها را در عرض چند ثانیه استخراج کنند. همچنین، نحوه همگام‌سازی داده‌ها در مرورگرها بین دستگاه‌های مختلف در فضای ابری — مانند از طریق حساب Google — به‌نوعی به ضرر کاربران است. تنها کافی است که یک نفر حساب کاربری آن‌ها را هک کند یا آن‌ها را فریب دهد تا رمز عبور حساب خود را فاش کنند، و سپس همه رمزهای عبور دیگرشان به‌راحتی در دسترس قرار می‌گیرند.

استفاده از مدیر کلمه عبور

یک مدیر رمز عبور واقعی تمام رمزهای عبور شما را در یک خزانه رمزنگاری شده ذخیره می‌کند. به‌طور مثال، مدیر کلمه عبور کسپرسکیتمام رمزهای عبور شما را در یک خزانه رمزنگاری‌شده با الگوریتم AES-256 ذخیره می‌کند، همان الگوریتم استفاده‌شده توسط آژانس امنیت ملی ایالات متحده برای ذخیره اسرار دولتی. این الگوریتم از یک رمز عبور اصلی استفاده می‌کند که فقط شما آن را می‌دانید (حتی ما هم آن را نمی‌دانیم) به‌عنوان کلید رمزنگاری. هر بار که به Kaspersky Password Manager  دسترسی پیدا می‌کنید، این اپلیکیشن از شما این رمز عبور را درخواست و خزانه را برای جلسه جاری رمزگشایی می‌کند. در همین خزانه رمزنگاری‌شده می‌توانید سایر اطلاعات مهم مانند شماره کارت‌های بانکی، اسکن‌های مدارک یا یادداشت‌ها را نیز ذخیره کنید.

مدیر کلمه عبور کسپرسکی ویژگی‌های مفید دیگری نیز دارد:

• می‌تواند ترکیب‌های رمز عبور منحصر به‌فرد و تصادفی واقعی ایجاد کند.
• می‌تواند رمزهای عبور شما را هم روی کامپیوترها و هم دستگاه‌های موبایل به‌طور خودکار پر کند.
• این اپلیکیشن برای هر دو پلت‌فرم موبایل اصلی، همچنین سیستم‌عامل macOS و کامپیوترهای Windows در دسترس است؛ همچنین افزونه‌هایی برای مرورگرهای محبوب دارد.
• پایگاه داده رمزهای عبور در تمام دستگاه‌های شما به‌صورت رمزنگاری‌شده همگام‌سازی می‌شود.
• می‌توانید از آن به‌جای احرازگر گوگل برای تولید کدهای 2FA برای تمام حساب‌های آنلاین خود استفاده کنید.
• بررسی می‌کند که آیا رمزهای عبور شما فاش یا مورد حمله قرار گرفته‌اند و در صورت نیاز به تغییر آن‌ها به شما هشدار می‌دهد.

با مدیر کلمه عبور کسپرسکی تنها کافی است که از روش‌های توضیح‌داده‌شده بالا برای ایجاد و به‌خاطر سپردن یک رمز عبور اصلی استفاده کنید که برای رمزنگاری خزانه مدیر رمز عبور استفاده می‌شود. فقط به‌خاطر داشته باشید: باید این رمز عبور را به‌طور بسیار دقیقی به‌خاطر بسپارید، زیرا اگر آن را گم کنید، به نقطه اول بازخواهید گشت. هیچ‌کس — حتی کارمندان کسپرسکی — نمی‌توانند به خزانه رمزنگاری‌شده شما دسترسی پیدا کنند. ما هم رمز عبور اصلی شما را نمی‌دانیم.

بگذارید خلاصه کنیم

پس چگونه باید رمزهای عبور را به‌طور صحیح در سال ۲۰۲۵ مدیریت کنید؟

۱. دستورالعمل‌های بالا را دنبال کنید تا یک رمز عبور اصلی امن ایجاد کنید و از سرویس Password Checker  ما برای تست قدرت رمزنگاری آن استفاده کنید.
۲. نمی‌توانید یک رمز عبور اصلی قوی پیدا کنید؟ یکی را در همان لحظه ایجاد و از قوانین یادآور برای به‌خاطر سپردن آن استفاده کنید.
۳Kaspersky Password Manager را روی تمام دستگاه‌های خود نصب کنید. با این اپلیکیشن، تنها کافی است رمز عبور اصلی را به‌خاطر بسپارید. اپلیکیشن باقی را برای شما به‌خاطر می‌سپارد.
۴. از passkeys  و روش‌های مختلف احراز هویت دو مرحله‌ای (2FA) هرجا که ممکن است استفاده کنید — ترجیحاً از طریق اپلیکیشن. ترکیب یک رمز عبور قوی با روش‌های امن احراز هویت، یک هم‌افزایی قدرتمند ایجاد می‌کند که به‌طور چشمگیری محافظت در برابر دسترسی غیرمجاز به حساب‌های شما را افزایش می‌دهد.
۵. مهم‌تر از همه، همیشه در جریان وبلاگ روزانه کسپرسکی تا یک گام از تهدیدهای سایبری جلوتر باشید.

[1]نمایشی از توزیع داده‌های کمی پیوسته‌است که می‌تواند تخمینی از توزیع احتمال باشد و نخستین بار توسط کارل پیرسون به کار گرفته شد

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.