حتما شما هم این جمله را از مسئول کامپیوتر یا شبکه یا افراد متخصص در کامپیوتر شنیدهاید:
"کلمه عبور خود را به دیگران ندهید" یا جملههایی شبیه به این مبنی بر حفظ و نگهداری از کلمه عبور. دلیل این همه اصرار
و جملههای تکراری چیست؟ و چرا ما باید کلمه عبور خود را از همکار یا هر فرد دیگری پنهان نگهداریم؟
بدون شک، تمام کاربرانی که تا به حال با کامپیوتر کار کردهاند،[ چطور با کامپیوتر کار کنیم؟] میدانند که فایلها، تنها اجزاء دارای ارزش در کامپیوتر هستند [چند نکته درباره کامپیوتر] که در صورت از بین رفتن، شاید هرگز قابل برگشت نباشند. به طور کل، انواع مختلف فایلهایی که یک کاربر در طول ماهها و سالهای گذشته برای خود تولید یا جمعآوری میکند، به عنوان سرمایهایی برای او محسوب میشود. چنانچه این فایلها مربوط به محیط کار یا پروژههای کاربر باشد، ادامه کار او به آنها بستگی دارد و چنانچه مربوط به مسائل شخصی باشد، میتواند زندگی و آرامش شخص را به خطر بیاندازد. همانطور که اکنون حفظ رمز کارتهای اعتباری برای همه افراد ضروری است (به دلیل ارتباط مستقیم با سرمایه) بدیهی است با بالا رفتن ارزش اطلاعات دیجیتال، لزوم حفظ و نگهداری از رمز نیز امری واجب خواهد شد.
با توجه به مسائل فوق، نگهداری، حفظ و انتخاب یک رمز خوب برای هر کاربر امری لازم و ضروری به نظر میرسد و با توجه به افزایش دستگاه های دیجیتال و لزوم انتخاب رمز برای هر کدام از آنها به نظر میرسد در آینده تمامی افراد، تمایل به حفظ و نگهداری رمز را در خود احساس میکنند. به همین منظور لازم است که اطلاعاتی هرچند کم در این زمینه دارشته باشیم.
اهمیت حفظ رمزها توسط صاحبان آنها به حدی است که اکنون توصیههای بسیاری در این زمینه میشود تا کاربران را مجاب به دقت بیشتر در این راستا و همچنین فراگیری ریزهکاریهای این امر کند. اکتشاف رمز و به دست آوردن رمز دیگران یکی از دغدغههای هکرها بوده تا با استفاده از آن بتوانند به اطلاعات شخصی یا کاری یک کاربر دست یافته یا از طریق آن وارد یک شبکه محلی شوند. اصولا چهار روش شناخته شده برای به دست آوردن رمز دیگران وجود دارد که در صورت آشنایی کاربران با آنها، میشود درصد بسیار زیادی از آن را کاهش داد. این چهار روش به شرح زیر هستند:
1- Passive Online Attacks: در این روش هکرها از نرمافزار یا سختافزارهای جاسوسی یا Sniffer ها استفاده میکنند. به این ترتیب که این نرمافزار یا سختافزار با قرار گرفتن بر روی شبکه، اطلاعات در حال انتقال بر روی سیمها را Sniff کرده و برای هکر ارسال میکنند.(سختافزارهای Sniffer در کنار کابل شبکه (کابلهای سیمی) قرار گرفته و اطلاعات داخل آن را میخوانند ولی نرمافزارها با نصب بر روی یک کامپیوتر شبکه این کار را انجام میدهند). طبق آخرین اخبار غیر رسمی، سختافزار Sniffer کابل فیبر نوری با قیمت 45000 دلار در آمریکا ساخته شده است.
2- Active Online Attacks: این روش در واقع حدس زدن رمز کاربران است که روش تجربی و با توجه به فرهنگ و ذهنیات فرد است. به طور معمول کاربران از مبتدی تا حرفهای سعی میکنند رمزی را برای خود در نظر بگیرند که به راحتی بتوانند آن را در خاطر نگهدارند. به همین دلیل اکثر کاربران از موارد آشنا نظیر شماره شناسنامه، نام فرزند، نام همسر و ... که همگی قابل حدس زدن میباشند را به عنوان رمز خود در نظر میگیرند. کاربران زرنگتر از ترکیب آنها استفاده میکنند که یافتن و حدس زدن آن کمی مشکلتر خواهد بود. هکرها نیز با توجه به این اصل که کارایی بسیاری نیز برای آنها دارد، ابتدا اطلاعات پرسنلی افراد را یافته و با آنها به حدسزنی رمز میپردازند.
3- Offline Attacks: در این روش از ابزار نرمافزاری برای یافتن رمز استفاده میشود. این ابزارها معمولا بر دو نوع هستند:
الف - Dictionary Attack: ابزارهای این روش، با کمک گرفتن از ذهن هکر، به یافتن رمز در کلمات لغتنامه میپردازند. برای این کار حتی از لغتنامههای غیر انگلیسی نیز استفاده میشود (لغتنامه فارسی نیز برای این موضوع درست شده است)
ب - Brute Force: در این روش نرمفزار ابتدا تعداد حروف رمز را با کمک هکر (یا بدون کمک) یافته و با استفاده از حروف و کلمات پیشنهادی هکر، به صورت منظم و یک به یک با جایگذاری آنها ، سعی در یافتن رمز میکند( در این روش به دلیل تعداد بسیار بالای حروف و اعداد، ممکن است زمان بسیاری نیاز داشته باشد و هرچه رمز قویتر و پیچیدهتر باشد، زمان بیشتری لازم دارد). در این روش بدیهی است که انتخاب رمز مناسب و قوی میتواند به شکست این نرمافزار بیانجامد. در مواردی که رمز قوی و مناسب است برای پیدا کردن آن،حتی ممکن است کامپیوتر احتیاج به چندین سال زمان برای یافتن آن داشته باشد که عملا غیر قابل استفاده خواهد بود.
4- Non Electronic Attacks: در این روش از راههای غیر معمول و غیرکامپیوتری برای یافتن رمز دیگران استفاده میشود. برخی از این روشها عبارتند از:الف- نگاه کردن به کیبورد هنگام تایپ کاربر بدون اینکه او متوجه شود (معمولا افرادی که از تبحر خاص در تایپ برخوردارند یا چشمان تیزی دارند به راحتی میتوانند حروفی که تایپ میشوند را ببینند)
ب - از پشت سر فرد نگاه کردن
ج-کاغذ فسفری: با دادن یک کاغذ مخصوص فسفری به کاربر بدون اینکه او متوجه شود، دستانش به فسفر آغشته شده، سپس بر روی کیبورد اثر کلماتی که تایپ میکند، برجا خواهد ماند. البته این اثرات در حالت عادی غیر قابل رویت هستند و با نور مخصوصی که به آنها تابیده میشود، قابل رویت خواهند بود. به این ترتیب فرد میتواند متوجه رمز کاربر شود یا حداقل بخش عمدهای از آن را به دست آورد.
د - مهندسی اجتماعی: هکرها اعتقاد بسیاری به این مهندسی دارند. در این روش با استفاده از فرهنگ، ذهنیات، کمبودهای روحی و ... افراد مختلف، اطلاعات مهمی را به دست میآورند. به واقع در این روش که بسیار نیز موثر است، با ترفندهای مختلف، اطلاعات فرد را از خود او یا اطرافیانش به دست میآورند. در این روش بیشتر که بر روی مسئول شبکه یا افراد مهم انجام میشود و به جای استفاده از ابزار، سعی میشود با روشهای مختلف گفتاری، رمز یا اطلاعاتی که منجر به لو رفتن رمز میشود را از زبان خود فرد بیرون کشید.
علاوه بر روشهای فوق که به صورت دستهبندی شده وجود دارد، چند روش که هنوز دسته بندی نشده نیز وجود دارد که به معرفی آنها میپردازیم:
1- Key Loggers: این نوع نرمافزارها با قرارگیری بر روی یک سیستم، کلیه استفادههای کاربر از ماوس و کیبورد را ضبط کرده و برای هکر ایمیل میکند. در این روش حتما میبایست نرمافزار بر روی کامپیوتر شما نصب شود پس دقت کنید هیچ نرمافزاری را بدون شناسایی و نوع عملکرد بر روی کامپیوتر خود نصب نکنید.
2- Fishing: در این روش، صفحهای مشابه یکی از سایتهای معتبر جهان ساخته و برای شما ارسال میشود یا اینکه شما را تشویق به ثبت نام برای شرکت کردن در یک قرعهکشی بزرگ میکند و شما نیز بدون توجه،تمام اطلاعات خود را وارد میکنید. توجه داشته باشید حتی اگر این کار را انجام میدهید، از رمز ایمیل یا رمزهای مهم خود در این صفحات استفاده نکنید و به صفحاتی که از شما اطلاعات میخواهند به راحتی پاسخ ندهید.
در ادامه چند پیشنهاد برای حفظ رمز و نهایتا حفظ اطلاعات به شما پیشنهاد میکنم، امیدوارم که مفید باشد:
1- انتخاب رمز قوی: به راستی چه رمزی قوی و مناسب است؟ پیشنهاد من به شما انتخاب رمزی حداقل 8 حرفی با ترکیبی از حرف، عدد و یکی از کاراکترهای خاص (@-$=% و ...) است. کاراکتر خاص را فراموش نکنید زیرا باعث میشود نرمافزارهای Brute Force از یافتن رمز شما عاجز شوند.
2- استفاده از دو روش برای شناسایی: در سیستم خود و برای ورود از دو روش شناسایی استفاده کنید مثلا استفاده از کارت هوشمند و رمز معمولی به صورت سری که باعث میشود ورود به محوطه شخصی شما بسیار سخت شود. این روش معمولا هزینه چندانی نیز برای شما ندارد.
3- استفاده از تجهیزات بیومتریک: تجهیزات بیومتریک، تجهیزاتی هستند که از مشخصات منحصر به فرد فیزیک شما استفاده میکنند مانند اثر انگشت، اثر شبکیه چشم صدا یا ... . این موارد چون تقریبا در جهان منحصر به فرد است، غیر قابل تقلب و سوء استفاده است. در حال حاضر بهترین روش شناسایی افراد در جهان همین روش است و تنها ضعف وارده به آن، قیمت بالای آن است ولی به نظر میرسد آینده از آن این تکنولوژی است.
با توجه به موارد ذکر شده فوق، با کمی دقت میتوانیم علاوه بر حفظ اطلاعات شخصی و کاری خود، از عواقب خطرناک لو رفتن آن نیز جلوگیری کنیم.