اگر از یک پسورد ثابت تکراری برای همه حسابهای کاربری خود استفاده میکنید، بهتر است به این دلایل ترسناک، هرگز این کار را نکنید.
این روزها تقریبا برای هر چیزی به یک حساب کاربری نیاز دارید. باید برای خدماتی مانند جیمیل و همچنین انجمنهای آنلاین یا یوتیوب حساب کاربری ایجاد کنید. حتی اگر حساب کاربری الزامی نباشد، ممکن است تا زمانی که یکی ایجاد نکنید، از دسترسی به برخی امکانات یا محتوا محروم شوید. با این همه حساب کاربری، باید به همان تعداد پسورد به خاطر بسپارید یا خیر؟ پاسخ (تا حد زیادی) بله است.
پسورد ثابت تکراری، امنیت شما را تهدید میکند
امنیت رمز عبور چیزی نیست که دست کم بگیرید یا در آن کوتاهی کنید. به عنوان مثال، باید از رمزهایی که دائما هک میشوند اجتناب کنید. هرچه پسورد قویتر و کمتر قابل پیشبینی باشد، بهتر است. فرض کنیم برای یک حساب کاربری، رمز عبور کاملی انتخاب میکنید. شاید وسوسه شوید همان پسورد ثابت تکراری را برای بیشتر یا حتی همه آنها استفاده کنید. استفاده از پسورد ثابت تکراری در چندین حساب صرف نظر از قوت آن، استراتژی وحشتناکی برای حفظ امنیت آنلاین است.
در ادامه تمام راههایی را بررسی کنیم که انتخاب پسورد ثابت تکراری میتواند نتیجه معکوس داشته باشد و حتی دیگران در شبکه شما یا فراتر از آن را به خطر بیندازد. پس با گجت نیوز همراه باشید.
انتخاب پسورد ثابت تکراری کار هکرها را آسانتر میکند
وقتی هکرها پسورد شما را برای یک حساب کاربری به دست میآورند، فقط میدانند که این رمز متعلق به همان حساب است. اگر از پسورد ثابت تکراری در سایتها و خدمات مختلف استفاده کنید، این موضوع مانع نمیشود که هکرها از همان اطلاعات برای سایر سایتها استفاده کنند.
یکی از ترفندهای رایجی که هکرها استفاده میکنند حمله (Credential Stuffing) نام دارد. این روش شامل جمعآوری نامهای کاربری و رمزهای عبور دزدیدهشده و استفاده از آنها برای دسترسی به سایتهای مختلف میشود. وقتی یک کاربر از رمزهای عبور خود در چندین سایت مجدد استفاده میکند، احتمال موفقیت هکرها را افزایش میدهد.
شما چیزی فراتر از حسابهای کاربری از دست میدهید
همه حسابهای کاربری به یک اندازه مهم نیستند و با از دست دادن حسابهای مختلف، چیزهای متفاوتی را به خطر میاندازید. اگر حساب فروشگاه آنلاین را هک کنند، به سابقه خرید، جزئیات پرداخت و آدرسهای ارسال دسترسی مییابند.
هرچه تعداد حسابهایی که از یک پسورد ثابت تکراری و نام کاربری مشترک استفاده میکنند بیشتر باشد، آسیب احتمالی بیشتر خواهد بود. با داشتن اطلاعات کافی، هکرها میتوانند به اطلاعات بسیار شخصی و حساس دسترسی پیدا کنند.
احتمالا داستانهایی درباره هکرهایی شنیدهاید که حسابهای بانکی را خالی میکنند. دادههای شخصی دزدیدهشده را در دارک وب میفروشند یا خود را به جای شخص دیگری جا میزنند. وقتی از رمزهای عبور و نامهای کاربری مشابه در چندین حساب استفاده میکنید، فقط کار را برای هکرها آسانتر میسازید.
فرض کنیم شما با پایگاههای داده شرکت کار میکنید و حساب کاری شما از همان رمزی استفاده میکند که مثلا برای کانال یوتیوب خود دارید. اگر کسی رمز عبور یوتیوب را بدزدد و متوجه شود برای چه شرکتی کار میکنید، میتواند از این اطلاعات برای نفوذ به پایگاه داده شرکت شما استفاده کند. این نهتنها امنیت صدها مشتری را به خطر میاندازد، بلکه اعتبار شرکت شما را نیز نابود میکند.
تمام سایتها از سطح محافظت یکسان برخوردار نیستند
هیچ دو نفری به یک روش امنیت اینترنتی را پیش نمیبرند. بسیاری از کاربران از برنامههای آنتیویروس با امتیاز بالا استفاده میکنند، اما این برنامهها عمدتا دادههای شخصی آنها را در دستگاههای محلیشان تامین میکنند. اگر از اینترنت استفاده میکنید، احتمالا دادههای شما در چندین پایگاه داده ذخیره میشود که هرکدام با تدابیر امنیتی خاص خود محافظت میشوند.
بیشتر وبسایتها اشکالی از حفاظت را پیادهسازی میکنند، اما تدابیر امنیتی آنها میتواند به طور قابل توجهی متفاوت باشد. برخی سایتها از نامهای کاربری و رمزهای عبور با رمزنگاری پیشرفته علاوه بر فایروال، محافظت میکنند. برخی دیگر ممکن است این دادهها را به صورت متن ساده ذخیره کنند و تنها به یک فایروال برای حفاظت متکی باشند. به محض این که هکرها آن مانع دیجیتال را بشکنند و وارد شوند، نامهای کاربری و پسوردها را به چنگ میآورند.
فرض کنید وارد وبسایت فروشگاه آنلاین یک کسبوکار نسبتا گمنام اما کاملا قانونی میشوید. برای خرید یک محصول حساب کاربری ایجاد میکنید، اما چون قصد دارید فقط یک خرید انجام دهید، تلاش زیادی برای ایجاد حساب نمیکنید. ممکن است به طور ناخواسته از همان نام کاربری و پسورد ثابت تکراری در حساب دیگری که دارید استفاده کنید. چون صاحب فروشگاه پول زیادی ندارد، امنیت سایتش هم در حداقل است.
اگر هکرها وارد پایگاه دادهها شوند، به راحتی میتوانند اطلاعات شما از جمله نام کاربری و رمز عبوری که نمیتوانستند از سایتهایی با امنیت قویتر به دست آورند، پیدا کنند.
فیشینگ پسورد بد است، اما فیشینگ پسورد ثابت تکراری بدتر است
اگر یک حمله فیشینگ را دیده باشید، میدانید که همه آنها را شبیه هم طراحی میکنند. اغلب مردم میدانند ایمیلهایی که ادعا میکنند اشتراک حساب آنها در شرف حذف است، به اندازه کلاهبرداریهای کلاسیک مانند ایمیلهایی شاهزاده نیجریهای که پول پیشنهاد میدهد، غیرقانونی و تقلبی هستند. با این حال، برخی از حملات فیشینگ میتوانند فریبتان دهند و میزان خسارتی که وارد میکنند بسته به کاربری که فریب خورده، متفاوت است.
بیشتر حملات فیشینگ شبیه یک تکنیک ماهیگیری به نام ترالینگ هستند. جایی که یک تور بزرگ به آب میاندازند تا هر آنچه که ممکن است به دام بیفتد، صید کنند. از نظر آماری حداقل یک نفر در هر حمله فیشینگ فریب میخورد؛ به ویژه اگر هکرها به طور پنهانی این کار را انجام دهند.
یکی از اشکال خطرناک فیشینگ که به آن (Whaling) میگویند، هدفگیری افراد خاص با حملات سفارشی است. مجرم به دقت پیام را طراحی میکند تا مشروعتر به نظر برسد؛ با این باور که میتواند اطلاعات یا پول قابل توجهی از هدف سرقت کند. اگر شما در یک حمله فیشینگ یا والینگ فریب بخورید و از یک پسورد ثابت تکراری به در چندین سرویس استفاده کنید، در نهایت اثبات میکنید که فرضیه مجرم درست بوده.
حتی یک پسورد ثابت تکراری هم خطرناک است
انسانها در تشخیص الگوها استاد هستند. بسیاری از هکرها میدانند که اگر کسی از یک پسورد ثابت تکراری برای یک حساب استفاده کند، احتمالا از آن برای حساب دیگری هم بهره میگیرد. البته حتی وقتی اینطور نباشد، هکرها میتوانند از روشهای دیگری برای سرقت دادهها استفاده کنند.
هکرها ابزارهای مختلفی مرتبط با رمزهای عبور دارند که به آنها در سرقت دادهها کمک میکند. یکی از این ابزارها «حمله دیکشنری» نام دارد. به جای استفاده مستقیم از رمز عبور برای دسترسی به یک حساب، هکر از آن به عنوان یک مبنا برای تولید و حدس نمونههای احتمالی استفاده میکند. به عنوان مثال، فرض کنید رمز عبور یوتیوب شما gabonandslogra است، اما رمز عبور اینستاگرام شما این نیست. یک هکر که رمز عبور یوتیوب شما را میداند، میتواند از حمله دیکشنری برای حدس رمز عبور اینستاگرام به شکل gab0n&sl0gra استفاده کند.
واقعیت ناخوشایند ذهن انسان این است که به الگوها وابستهایم. وقتی آنها را نمیبینیم، خودمان آنها را میسازیم. این تمایل ما را قابل پیشبینی میکند. حتی اگر از پسورد ثابت تکراری برای هر حساب آنلاین استفاده نکنیم، هکرها میدانند که بسیاری از افراد رمزهای عبور را با الگوهای مشابه میسازند.
هکرها با دسترسی به یک پسورد، سایر رمزها را تغییر میدهند
هر وبسایت و سرویس آنلاین که از کاربران میخواهد با رمز عبور وارد شوند، روشی برای بازنشانی رمز عبور فراهم میکند. حالا چگونه میتواند بین یک کاربر که پسورد خود را فراموش کرده با یک هکر که قصد دارد آن را تغییر دهد تمایز قائل شود؟ نمیتواند.
زمانی که هکر به هر یک از رمزهای عبور شما دسترسی پیدا کند، میتواند آن را بازنشانی کرده و شما را از دسترسی به حساب خود خارج کند. البته، زمانی که متوجه این موضوع شوید، میتوانید خودتان رمز عبور را بازنشانی کرده، آنها را از دسترسی خارج کنید.
بازیابی پسوردها به همان اندازه استفاده مجدد خطرناک است
وقتی هکرها اطلاعاتی از جمله رمزهای عبور را دزدیده و جمعآوری میکنند، معمولا یک رکورد از دستاوردهای غیرقانونی خود نگه میدارند. اگرچه این قاعده سخت و ثابت نیست، اما به طور کلی هکرها اطلاعاتی را که دزدیدهاند حتی اگر قدیمی شده باشد، حذف نمیکنند.
فرض کنید که پسورد حساب اینستاگرام شما را دزدیدهاند، اما توانستهاید آن را بازیابی کنید. این اتفاق به قدری شما را ترسانده که دیگر از آن پسورد برای جیمیل استفاده نخواهید کرد. میخواهید یک حساب جدید برای سرویس دیگری ایجاد کنید و هکرها هم تلاش میکنند با استفاده از تمام رمزهای عبوری که قبلا جمعآوری کردهاند به آن نفوذ کنند. اگر همان رمز عبور دزدیدهشده ن را برای یک حساب دیگر استفاده کنید، هکرها میتوانند خیلی سریعتر به حساب جدید نفوذ کنند.
پسورد ثابت تکراری میتواند اثر گلوله برفی ایجاد کند
رمزهای عبور شبیه به واکسنها هستند؛ آنها از حسابها و اطلاعات شخصی شما محافظت میکنند. اگر در حوزه فناوری اطلاعات فعال هستید و از پایگاه داده نگهداری میکنید، رمزهای عبور کمک میکنند تا از اطلاعات افرادی که مدیریت دادههای آنها را در دست دارید، محافظت کنید. تنها یک هک درست در مکان نادرست کافی است تا اپیدمی دیجیتال را آغاز کند.
حملات سایبری میتوانند هر کسی را به دلایل مختلف هدف قرار دهند. پایگاههای داده معمولا هدف این حملات قرار میگیرند و هکرهای هوشمند سعی میکنند مدارک کارمندان فناوری اطلاعات را بدزدند؛ بهویژه کسانی که از پسورد ثابت تکراری برای حسابهای شخصی و حرفهای خود استفاده میکنند. اگر موفق شوند، این هکرها میتوانند به تمام اطلاعات موجود در پایگاه داده دسترسی پیدا کنند. بسته به سایت، این اطلاعات میتواند شامل اطلاعات حساس و حیاتی مانند جزئیات حساب بانکی، شماره کارت اعتباری، شماره تأمین اجتماعی، و حتی اسرار صنعتی باشد.
پسوردهای دزدیدهشده منجر به بدافزار میشوند
همانطور که پیشتر گفتیم، وقتی یک رمز عبور دزدیده میشود، هکرها میتوانند به تمام حسابهای مرتبط دسترسی پیدا کرده و از آنها سواستفاده کنند. بسته به مجوزهای مدیریتی، این میتواند به برخی از مجرمان سایبری فرصت بدهد که فراتر از دزدیدن دادهها عمل کنند.
نوع حساب تعیین میکند که هکرها چه نوع اطلاعاتی میتوانند سرقت کنند. پایگاههای داده شرکتها از همه با ارزشتر هستند، زیرا ممکن است اطلاعات بانکی و اسرار تجاری را در خود جای دهند. مهمتر از همه، حسابهایی با مجوزهای مدیر سیستم به هکرها این امکان را میدهند که حملات بدافزار قدیمی را راهاندازی کنند.
زمانی که یک مجرم سایبری به سطح بالایی از دسترسی به پایگاه داده، سرور یا درایو دست مییابد، میتواند بدافزارهایی مشابه آنچه که در مرور وب عادی با آن روبهرو میشوید، نصب کند. این شامل باجافزارهای رمزگذاری دادهها، نرمافزارهای جاسوسی از فعالیت کاربران و نرمافزارهای ماینر میشود که قدرت پردازشی را برای استخراج ارزهای دیجیتال بهطور غیرمجاز تصاحب میکنند.
حتی برنامه مدیریت رمز عبور نیز ایمن نیست
به جای استفاده مجدد از رمزهای عبور یا ساختن پسورد جدید برای هر حساب، باید از مدیر رمز عبور استفاده کنید. همچنان نباید به این برنامهها به طور کورکورانه اعتماد کنید؛ هرچند که در ایمن نگهداشتن اطلاعات شما کمک میکنند، اما کاملا بدون نقص نیستند.
در شرایط معمولی، ما به شدت استفاده از برنامه مدیریت پسورد را توصیه میکنیم. این برنامهها برای تعداد زیادی از حسابها پیورد میسازند و تمام آنها را برای شما به یاد میسپارند. هر رمز عبور میتواند یک رشته تصادفی از اعداد و حروف باشد که حفظ آن برای یک انسان غیرممکن است؛ اما با مدیر رمز عبور، همه آنها ایمن میمانند.
زمانی که از برنامه مدیریت پسورد استفاده میکنید، باز هم باید یک پسورد اصلی را به خاطر بسپارید که برنامه را برای شما باز میکند. اگر ایمنی پایهای کامپیوتری را نادیده بگیرید و به طور تصادفی یک کیلاگر نصب کنید، مجرم سایبری میتواند پسورد اصلی برنامه را بدزدد. بدتر از آن، اگر از مدیر رمز عبور فقط آنلاین استفاده کنید و برای پسورد اصلی از یک پسورد ثابت تکراری استفاده کنید، هکر میتواند با روش تکراری (credential stuffing) به حساب شما دسترسی پیدا کند.
source