آیا تغییرات مکرر رمز عبور یا همان پسورد برای بالا بردن امنیت، کار مفید و درستی است؟ تاکنون چند بار رمز عبور خودتان را تغییر داده اید؟ برخی از پسوردها حتی بیش از ده سال سن دارند و کاربر آنها را سال هاست تغییر نداده است.
در حقیقت، بسیاری از ما تنها زمانی چیزی را تغییر وضعیت می دهیم که وضعیتی بحرانی پیش بیاید. به طور معمول، ما به راحتی نمی توانیم پسورد های مختلف به خاطر بسپاریم و اگر مجبور نباشیم سال ها با یک پسورد کار می کنیم و آنرا تغییر نمی دهیم.
به نظر شما، کدام رویکرد درست است؟ آیا گذرواژه یا پسورد باید سال ها بدون تغییر بماند یا باید آن را تغییر بدهیم؟ در این مطلب می خواهیم مزایا و معایب تغییر رمز عبور را با شما مطرح کنیم.
با تغییر رمز عبور امنیت شما کمی ( خیلی کم ) بیشتر می شود
به طور کلی شرط عقل این است که رمز عبورِ خودمان را هر از گاهی تغییر بدهیم تا امنیت سیستم و حساب هایمان را بالاتر ببریم. این استدلال نشان می دهد که اگر شما قربانی ناخواسته یک هک باشید، تغییر رمز عبور، را به طور مرتب می تواند به سرعت جزئیات اطلاعاتی که هکرها از شما در اختیار دارند را تغییر بدهد و در کار آنها خدشه ایجاد کند.
به طور مشابه، اگر کسی بدون اطلاع شما به رمز عبورتان دسترسی پیدا کند، حتی کسی که ظاهرا مورد اعتماد شماست، این کار می تواند امنیت بیشتری را برای شما فراهم کند. به همین دلیل است که برخی مدیران در حوزه فناوری اعتقاد دارند باید هر دو هفته یک بار رمز عبور تغییر کند.
آیا استدلال این افراد درست و معتبر است؟ بله، این استدلال درست است ولی واضح و شفاف نیست. حتی بر فرض که برخی گذرواژه های جدید شما قویتر از قبلی ها باشند، این تغییر رمز چقدر می تواند مفید و موثر باشد؟
محققان دانشگاه کارلتون سعی کردند این موضوع را در قالب یک مقاله توضیح بدهند. باید بدانید که هکر ها و مهاجمان که قصد دارند به فایلی که حاوی پسورد است، دسترسی پیدا کنند، می توانند این حملات را در حالت آفلاین انجام دهند. بنابراین، آنها می توانند تعداد زیادی از کلمات عبور را در یک بازه زمانی با سر فرصت و حوصله آزمایش کنند. به همین دلیل گفته می شود که رمزهای عبور ضعیف و متوسط خطرناک است.
در این مقاله توضیح داده می شود که حتی رمز عبور قوی هم می تواند مورد حمله هکرها قرار بگیرد. فقط ممکن است زمان بیشتری صرف باز کردن آن رمز عبور کنند. البته در این مقاله، محققان توصیه می کنند از رمزهای عبور slow hash functions مانند bcrypt استفاده کنند.
رمز عبور جدید تا چه حد ایمن است ؟
البته نیازی نیست بگوییم که حتما در حین تعویض رمز عبور، پسورد قوی انتخاب کنید. باید بدانید :
رمز عبورِ شما باید ترکیبی از حروف و اعداد باشد.
باید از حروف بزرگ و حروف کوچک استفاده کنید.
بهترین حالت، استفاده از کاراکترهای خاص در رمز عبور است.
باید بیش از 12 کاراکتر داشته باشد.
اگر این چهار نکته ساده را رعایت کنید به راحتی می توانید رمز عبورِ قوی بسازید. با ایجاد رمزهای عبوری که تمام الزامات را برآورده می کنند ،می توانید ایمن تر حرکت کنید.
مردم در تغییر رمز عبور تنبل هستند. در سال 2010، محققان دانشگاه کارولینای شمالی مقاله ای با عنوان «امنیت رمز عبور و رمز عبور مدرن: چارچوب الگوریتمی و تحلیل تجربی» منتشر کردند. در این مقاله، تاریخچه رمز گذاری حساب ها در دانشگاه مورد مطالعه قرار گرفت.
در این مطالعه بیش از 10،000 حساب کاربری قدیمی و 51،141 کلمه عبور بررسی شد. محققان یک حمله هش آفلاین را انجام دادند و در نهایت 60 درصد حساب ها قابل هک شدن بودند. از این 60 درصد حساب کاربری، 7 752 کلمه عبور ، رمز عبور قوی نبودند.
سپس محققان، از مجموعه داده ها استفاده کردند تا ببینند آیا می توانند سایر رمزهای عبور مرتبط با آن حساب کاربری را استخراج کنند. نتایج شگفت انگیز بود. در 17 درصد موارد، گذرواژه بعدی مورد استفاده در حساب کاربری در کمتر از 5 ثانیه قابل حدس زدن بود.
اما چرا اینطور است ؟ این مطالعه نشان می دهد که مردم هنگام تغییر گذرواژه اغلب تمایل به تغییرات جزئی دارند. به عنوان مثال، رمز عبورِ Sausage123 را ممکن است به صورت $ ausage123 تغییر بدهند. یا رمز عبورِ hellocheese! را تبدیل به hellocheese !! می کنند.
چه زمان باید رمز عبور خود را تغییر دهید؟
برخی رمزهای عبور چندین سال است که توسط کاربر آن حساب کاربری مورد استفاده قرار می گیرد. آیا استفاده از یک رمز عبور برای مدت طولانی کار درستی است ؟
البته، اگر مشکوک هستید که کسی ممکن است بدون اطلاع شما، به حساب شما دسترسی دارد، باید رمز عبور خودتان را تغییر دهید. اگر فکر می کنید که فردی ممکن است با داشتن رمز عبور بتواند به حساب های بانکی تان دسترسی داشته باشد، باید رمز عبور خودتان را تغییر بدهید.
اگر فکر می کنید به طور تصادفی قربانی یک کلاهبرداری فیشینگ شده اید، باید رمز عبور خودتان را تغییر بدهید.
در همه موارد، شما باید اطمینان حاصل کنید که رمز جدید شما هیچ شباهتی به رمز عبور قبلی تان ندارد. از همان کلمه ی اصلی قبلی برای رمز عبور جدید استفاده نکنید. کاراکترهای خاصی را در همان موقعیت قبلی قرار ندهید. و چیزی شبیه به نوشتار رمز عبور قدیمی خود را مجددا یادداشت نکنید.
به یاد داشته باشید، باید رمز عبور خودتان را در هر حساب دیگری که متصل به این حساب کاربری تان است نیز تغییر دهید. برای مثال، اگر رمز عبور فیس بوک شما flowerpot1 و رمز عبور توییتر شما 1flowerpot است، شما باید هر دو آنها را تغییر دهید.
چرا برخی علاقه ای به تغییر رمز عبور ندارند؟
تغییر رمز عبور با اینکه ایده خوبی است و اغلب توصیه می شود چنین کاری انجام شود، ولی یک اشکال بزرگ برای برخی افراد دارد و آن هم فراموش کردن رمز عبورِ جدید است.
در سال 2009، مؤسسه ملی استاندارد و فناوری، در مورد تغییرات منظم رمز عبور مقاله ای تهیه کرد و در آن دلیل تغییر ندادن رمز عبور، توسط برخی کاربران را برشمرد. یکی از مهمترین آن موارد فراموش کردن رمز عبورِ جدید بود.
استدلال ها ممکن است پیچیده باشند، اما آسان است خلاصه شوند. کاربران می توانند رمز عبورِ قوی و جدید برای حساب کاربری خودشان انتخاب کنند ولی در به یاد سپردن آن مساله دارند. باید بدانید که اگر شما اغلب رمزهای جدید پیچیده ای ایجاد می کنید، می توانید از برنامه مدیریت رمز عبور، مانند LastPass استفاده کنید و لازم نیست که رمز عبورِ خودتان را به خاطر بسپارید و مساله تان حل خواهد شد.