انتخاب رمزهای پیچیده دیگر هیچ ارزشی ندارد!

مردی که باعث شد همه ی ما رمزهای عبور پیچیده ای برای خود انتخاب کنیم، اکنون می گوید این پسوردها هیچ ارزشی ندارند.

گویا آی تی – همه ی ما با توصیه هایی که در مورد رمز های عبور سخت و پیچیده وجود دارد آشنا هستیم، اما مردی که برای اولین بار ترکیب اعداد و حروف و افزودن کاراکترهای خاص به این رمزها را پیشنهاد کرد، اکنون فکر می کند بخش زیادی از توصیه های اولیه ی او، گمراه کننده بوده است.
زمانی که بیل بور اولین راهنمایی های خود را در سال ۲۰۰۳ نوشت، در موسسه ملی استانداردها و فناوری (NIST) مشغول به کار بود که یک سازمان دولتی در ایالات متحده است. این توصیه ها، با پشتیبانی NIST ، توسط بسیاری از آژانس ها و مدیرات فناوری اطلاعات به اجرا در آمدند.
اما بور می گوید، توصیه کردن به انتخاب رمزهای عبور چندگانه و پیچیده برای هر حساب کاربری، نتیجه عکس داشته است، چرا که بیشتر ما تقریبا برای تمام حساب های کاربری از یک رمز استفاده می کنیم، و این موضوع ما را حتی بیشتر از قبل، در برابر هکرها آسیب پذیر می کند.
بار، که اکنون یک بازنشسته است، به رابرت مک میلان از مجله وال استریت گفته است:” من از بسیاری از توصیه های خود پشیمان هستم. در نهایت فهم کامل این نکات برای بسیاری از مردم بسیار دشوار بود، و در حقیقت، این کار یک اشتباه بزرگ بود.”
بور در آغاز توصیه می کرد که از ترکیب حروف بزرگ و کوچک، اعداد و کاراکترهای ویژه برای سخت تر کردن هرچه بیشتر عملیات کرک رمزهای عبور استفاده کنیم و این توصیه از نظر فنی، درست به نظر می رسد- یک هکر برای امتحان کردن ۵۲ یا ۷۸ حالت ممکن برای هر کاراکتر ، بیشتر از امتحان ۲۶ حرف الفبا به زمان نیاز دارد.
اما این توصیه دو اشکال دارد: نخست آنکه افراد معمولا از الگوهای مشابهی استفاده می کنند (برای مثال “s” را با ۵ عوض می کنند)، و این موضوع پیش بینی رمزهای عبور را آسان تر می کند. دوم آنکه، کاربران برای به یاد آوردن تمامی این ترکیبات پیچیده با مشکلاتی مواجه می شوند، و همین موضوع باعث می شود که برای تمام حساب های کاربری خود، یک رمز عبور یکسان انتخاب کنند.
علاوه بر این، بور به افراد پیشنهاد می کرد که رمزعبور خود را به طور مرتب عوض کنند. مجددا، در حالی که این ایده در اصل بسیار درست و سودمند است، باعث می شود که افراد هر بار تنها یک حرف یا عدد را تغییر دهند، و در برابر هکرهای باهوش، آسیب پذیر باشند.
همانطور که در این طرح کمدی نشان داده شده است:” ما با ۲۰ سال تلاش، موفق شده ایم به افراد آموزش دهیم تا از رمزهای عبوری استفاده کنند که به یاد آوردن آن برای انسان ها بسیار سخت است، اما کامپیوترها به راحتی می توانند آن را حدس بزنند.”
آلان وودوارد، از دانشگاه سورِی در بریتانیا به خبرنگار بی‌بی‌سی گفته است:” هرچه بیشتر از شخصی درخواست کنید که رمز عبور خود را تغییر دهد، او قطعا پسوردهای ضعیف تر و ساده تری را انتخاب خواهد کرد.”
“و از آن جایی که همه ی ما چند حساب آنلاین داریم، شرایط پیچیده تر می شود و رفتارهایی مانند استفاده از رمز عبور یکسان در سیستم های مختلف را ترغیب می کند.”
پس با این شرایط باید چه کار کنیم؟ توصیه جدید بور، راندال مانرو، خالق کاریکاتورهای xkcd و دیگر کارشناسان، آن است که یک عبارت طولانی را به عنوان رمز عبور انتخاب کنید که تنها خودتان می توانید آن را به یاد آورید، و در عین حال حدس زدن آن برای یک کامپیوتر بسیار دشوار بوده و به زمان زیادی نیاز داشته باشد.
چیزی مثل “giraffeseatingcarrotsinbed” می تواند انتخاب خوبی باشد. اما یادتان باشد که از خود این عبارت استفاده نکنید!
ثبت نام در یک سرویس مدیریت رمز عبور، مانند LastPass یا ۱Password نیز توصیه می شود، چرا که این سیستم ها برای تمام حساب های کاربری شما، یک تأیید دو مرحله ای را تدارک می بینند. این کار باعث می شود یک لایه امنیتی دیگر به ترکیب نام کاربری و رمز عبور شما اضافه شود، و امروزه این امکان در تمام حساب های معروف همانند گوگل، اپل، و مایکروسافت وجود دارد.
منظور از تأیید دو مرحله ای آن است که حتی اگر شخصی بتواند به نحوی نام کاربری و رمز عبور شما را به دست آورد، بدون داشتن یک کد دیگر که معمولا به گوشی تلفن همراه شما فرستاده می شود، اجازه ورود به حساب کاربری شما را نخواهد داشت.
موسسه NIST راهنمایی های قدیمی خود را برای سیستم های عصر مدرن، به روز رسانی کرده است، بنابر این تا جایی که می توانید این اطلاعات خوب امنیتی را به گوش دیگران برسانید و همیشه ایمن باشید.
پاول گراسی، یک مشاور فنی که راهنمایی های NIST را نوشته است، می گوید بور نباید در مورد پشیمان شدن از توصیه های گذشته خود، احساس بدی داشته باشد.
“او متنی در مورد امنیت اطلاعات نوشته است که برای مدت ۱۰ تا ۱۵ سال اعتبار داشته است. من تنها می توانم امیدوار باشم که متنی را بنویسم، به گونه ای که تا این مدت دوام داشته باشد.”