هک ۱۲ میلیون پسورد گوگل با ایمیل های فیشینگ

/در , , , , /توسط
تحقیقات گوگل نشان داد از ۲۰۱۶ تا ۲۰۱۷ میلادی ۱۲ میلیون نام ورود و پسورد کاربران گوگل از طریق ایمیل های فیشینگ هک شده است.
به گزارش خبرگزاری مهر به نقل از ماشابل، محققان گوگل پس از یک سال تحقیقات اعلام کرده اند هکرها به طور مداوم سعی در نفوذ به حساب های کاربری این موتورجستجو می کنند.
 
 محققان این شرکت یک سال صرف تحقیق درباره نحوه سرقت پسورد کاربران توسط هکرها و فاش کردن اطلاعاتشان در بازار سیاه اینترنت کرده اند. گوگل برای جمع آوری اطلاعات درباره ابزارهای هک با دانشگاه برکلی کالیفرنیا همکاری کرد.
 
محققان متوجه شدند بیشتر پسوردها به دو شیوه ایمیل های فیشینگ و نفوذ از طریق طرف سوم ( مانند دستیابی به پسوردها از  اطلاعات شخصی افراد در شرکت هایی مانند Equifax) سرقت می شوند. همچنین تحقیق نشان داده بین مارس ۲۰۱۶ تا۲۰۱۷ میلادی ۱۲ میلیون اطلاعات شخصی ( نام ورود و پسورد) از طریق ایمیل های فیشینگ و ۳.۳ میلیارد اطلاعات شخصی کاربران گوگل از طریق طرف سوم فاش شده است.
 

راههایی برای افزایش ایمنی رمزعبور حساب‌های کاربری

/در , , , , /توسط
یکی از راههایی که می تواند به در امان ماندن از خطرات و تهدیدات حملات سایبری و هک شدن در فضای اینترنت، افزایش ضریب ایمنی گذرواژه های صفحات مجازی و حساب های کاربری است.
 
به گزارش ایسنا، به نقل از وب سایت mediatemple ، از آنجایی که امروزه شبکه های اجتماعی در اینترنت و صفحات مجازی شخصی زندگی ما را فرا گرفته است، لازم است اطلاعات خود را برای ایمن ماندن از گزند هکرها و مجرمان سایبری در این فضای باز افزایش دهیم.
 
 
در این گزارش به بررسی مختصری بر راههایی که ضریب ایمنی گذرواژه و یا رمز عبور صفحات مجازی را افزایش می دهد، می پردازیم:
 
سعی کنید موارد زیر را حتما در ساخت گذرواژه یا رمز عبور حساب های کاربری خود رعایت و استفاده کنید:
 
۱. حداقل از ۸ کاراکتر در ساخت رمز عبور یا گذرواژه خود استفاده کنید.
 
۲. در رمز عبور خود حتما از تعدادی حروف بزرگ و کوچک انگلیسی، عدد و رقم و علامت های نشانه گذاری همچون گیومه، دو نقطه، ویرگول و غیره استفاده کنید.
 
۳. می توانید از حروف و کاراکترهای مشابه استفاده کنید بعنوان مثال، بجای استفاده از حرف S انگلیسی از کاراکتر $ استفاده کنید .
 
۴. می توانید بجای حرف بزرگ I )آی) انگلیسی از حرف کوچک  l  (اِل) استفاده کنید.
 
۵. بجای حرف)  O اُو) انگلیسی، عدد صفر انگلیسی را بکار ببرید.
 
 
از بکارگیری موارد زیر در ساخت رمز عبور و گذرواژه خود به شدت خودداری کنید:
 
۱. از کلماتی که به سادگی در یک فرهنگ لغت و دیکشنری یافت می شود، به هیچ وجه استفاده نکنید. 
 
۲. از بکاربردن اطلاعات شخصی خود نظیر نام کوچک، نام خانوادگی و تاریخ تولد خود خودداری کنید .
 
۳. از کلمات و اعدادی که حدس زدن آن بسیار ساده و آسان است همانند ۱۲۳۴۵، خودداری کنید.
 
۴. کلمات و عباراتی که همه کاراکترهای آن با حروف بزرگ یا همه با حروف کوپک انگلیسی تایپ شده باشند را بکار نبرید.
 
۵. از تکرار کاراکترهای موجود در رمز عبور همانند mmm۳۳۳ به شدت پرهیز کنید.
 
۶. رمز عبور حساب های کاربری مختلف خود را به صورت های کاملا متفاوتی بسازید تا در صورتی که یکی از حساب های کاربری شما به هر علتی، هک شد و یا با مشکل مواجه شد، دیگر حساب های کاربری و صفحات مجازی شما آسیب نبیند.
 
 
نکات دیگری که می‌تواند ضریب ایمنی رمز عبور و گذرواژه های خود را افزایش بدهد به شرح ذیل است:
 
۱. هر از گاهی رمز عبور حساب های کاربری و صفحات مجازی خود را تغییر بدهید و به هنگام ساخت گذرواژه های جدید نیز تمامی نکات امنیتی را در نظر بگیرید.
 
۲. به هیچ عنوان و تحت هیچ شرایطی رمز عبور خود را به کسی اعلام نکنید.
 
۳. گذرواژه های خود را در گوشی همراه یا رایانه شخصی خود نگهداری نکنید تا در صورت گم شدن و یا هک شدن اطلاعات رایانه و گوشی همراه خود، نگران لو رفتن حساب‌های کاربری خود نباشید.

ذخیره پسورد در مرورگرها؛ آری یا خیر؟

/در , , , , , /توسط
اگر به سایت‌هایی که در آن‌ها حساب کاربری دارید وارد ‌شوید، معمولا از شما برای ذخیره کردن یا نکردن رمز عبورتان سوال می‌کنند تا ورود شما برای بار دوم و بدون وارد کردن رمز عبور آسان‌تر شود؛ اما یکی از راه‌های حفظ امنیت خصوصا در اماکن عمومی، ذخیره نکردن این کلمات عبور است. بنابراین بهتر است تا حد ممکن کلمه‌های عبور را ذخیره نکنید.
 
بهترین روش شناخته‌شده حفظ امنیت، ذخیره نکردن کلمات عبور یا همان پسورد است. به همین دلیل بیشتر مرورگرها قبل از ذخیره کلمه عبوری که توسط کاربر وارد شده است، از او درباره این کار سوال می‌پرسند و فقط در صورت موافقت کاربر اقدام به ذخیره‌سازی می‌کنند.
 
این موضوع زمانی اهمیت پیدا می‌کند که از رایانه‌های اماکن عمومی مثل کافی‌نت‌ها استفاده می‌کنند. کلمه‌های عبور ذخیره‌شده توسط مرورگر به سادگی قابل دستیابی هستند. اکثر کاربرانی که در سایت‌های مختلف مانند پست الکترونیک، شبکه‌های اجتماعی و غیره دارای یک پروفایل شخصی هستند و برای جلوگیری از هک شدن و امنیت اطلاعات خود باید از ذخیره شدن پسورد روی سیستم جلوگیری کنند.
 
ذخیره کردن یا غیرفعال کردن پسوردها در مرورگرها
 
در مرورگر فایرفاکس، در بخش passwords، دو گزینه Remember Passwords for sites وUse a master password  وجود دارد.
 
                       
 
با انتخاب گزینه اول، پسوردهایی که وارد می‌کنید، ذخیره می‌شود البته از قبل از ذخیره کردن پسورد، سوال می‌کند. با انتخاب گزینه دوم یک «پسورد اصلی» برای کلیه پسوردها در نظر گرفته می‌شود که بدون دانستن آن، هیچکس نمی‌تواند از پسوردهای ذخیره‌شده در مرورگر استفاده کند.
 
       
 
در مرورگر اینترنت اکسپلورور، ابتدا باید روی گزینه options Internet کلیک کنید.
 
 
برای حذف شدن یوزر پسوردهای قبلی می‌توان از دکمه Delete Auto Complete کمک گرفت.
 
 
در مرورگر گوگل کروم، با غیرفعال کردن گزینه offer to save your web passwords این مرورگر در خصوص ذخیره نام کاربری و رمزهای عبور از کاربر سوال نمی‌کند.
 
 
 

فاجعه امنیتی در اینترنت؛کلمات عبورتان را عوض کنید

/در , , , , /توسط
شرکت کلودفلیر که خدمات زیرساختی در فضای مجازی ارائه می کند و میلیون‌ها وب سایت از سرویس های آن استفاده می‌کنند از شناسایی مشکلی در اینترنت خبر داد که موجب افشای اطلاعات حساس کاربران می‌شود.
این مشکل اولین بار توسط یک محقق گوگل به نام تاویس اورماندی در 17 فوریه شناسایی شد، اما نشت اطلاعات به علت آسیب پذیری یاد شده از 22 سپتامبر یعنی اواخر شهریور ماه امسال در جریان بوده است.
 
در شرایط خاص، پلاتفورم کلودفلیر داده هایی را به طور تصادفی از شش میلیون مشتری خود مانند فیت بیت، اوبر و ... به وب سایت های کوچکتری که متعلق به دیگر مشتریانش بوده، منتقل می کرده است. اطلاعات یاد شده مانند داده های مربوط به کرایه یک تاکسی توسط مشتری اوبر یا کلمه عبور فردی در یک وب سایت دیگر ممکن است در حین انجام این انتقال به علت نقص امنیتی کلودفلیر به سرقت رفته باشد.
 
داده هایی که به این شکل نشت کرده اند بر روی وب سایت های مشهور یا پرترافیک ارسال نشده و حتی در این صورت به سادگی و توسط افراد عادی قابل مشاهده نیستند. اما برخی از داده های نشت کرده مانند کوکی های حساس، داده های مربوط به ورود به سایت های مختلف، برخی کلیدهای امنیتی و به خصوص کلیدهای رمزگذاری کلودفلیر در صورتی که به دست هکرها بیفتند می توانند مشکلات جدی ایجاد کنند.
 
کارشناسان همچنین هشدار می دهند که این داده های نشت کرده ممکن است در موتور جستجوهایی مانند گوگل و بینگ به طور تصادفی ذخیره شده و به دست افراد ناصالح بیفتند.
 
با توجه به اینکه کلودفلیر زیرساختی بزرگ از داده های اینترنت را به اشتراک می گذارد، درخواست های ارسالی به وب سایت آن به علت همین مشکل قابل هک کردن و دسترسی توسط اشخاص ثالث است. البته این روند محدود به درخواست های ارسالی HTTP است و کاربران سایت های ایمن HTTPS به احتمال زیاد از این آسیب پذیری آسیب ندیده اند، اما کارشناسان امنیتی به کاربران توصیه می کنند برای درامان ماندن از مشکلات احتمالی حتما کلمات عبور خود در سایت های مختلف را تغییر دهند.
 
شرکت کلودفلیر می گوید تنها یک ساعت بعد از اطلاع از وقوع این مشکل وصله ای نرم افزاری را در تمامی سیستم های وابسته به خود به کار گرفته و در عرض هفت ساعت آسیب پذیری یاد شده را برطرف کرده است. این شرکت برای کسب اطمینان از حل مشکل مذکور با گوگل و دیگر موتورهای جستجو در حال همکاری است تا کش ها و دیگر داده هایی که ممکن است برای سرقت اطلاعات مورد سوءاستفاده قرار بگیرند، پاکسازی شوند. لذا دیگر نمی توان از این جستجوگرها برای سرقت اطلاعات خصوصی کاربران سوءاستفاده کرد.
 
متیو پرینس مدیرعامل کلود فلیر می گوید تنها کاربران سایت های HTML باید هم اکنون نگران سرقت اطلاعات حساس خود باشند. تماس با مدیران این سایت ها کماکان ادامه دارد و کلودفلیر معتقد است مشکل مذکور فعلا محدود به 150 مشتری آن است. در عین حال مدیران برخی سایت های اینترنتی اطلاع رسانی به کاربران خود در مورد پیامدهای این مشکل و اقداماتی که باید توسط کاربران برای درامان ماندن از خطرات امنیتی احتمالی صورت بگیرد را آغاز کرده اند.

فاجعه امنیتی در اینترنت؛کلمات عبورتان را عوض کنید

/در , , , , /توسط
شرکت کلودفلیر که خدمات زیرساختی در فضای مجازی ارائه می کند و میلیون‌ها وب سایت از سرویس های آن استفاده می‌کنند از شناسایی مشکلی در اینترنت خبر داد که موجب افشای اطلاعات حساس کاربران می‌شود.
این مشکل اولین بار توسط یک محقق گوگل به نام تاویس اورماندی در 17 فوریه شناسایی شد، اما نشت اطلاعات به علت آسیب پذیری یاد شده از 22 سپتامبر یعنی اواخر شهریور ماه امسال در جریان بوده است.
 
در شرایط خاص، پلاتفورم کلودفلیر داده هایی را به طور تصادفی از شش میلیون مشتری خود مانند فیت بیت، اوبر و ... به وب سایت های کوچکتری که متعلق به دیگر مشتریانش بوده، منتقل می کرده است. اطلاعات یاد شده مانند داده های مربوط به کرایه یک تاکسی توسط مشتری اوبر یا کلمه عبور فردی در یک وب سایت دیگر ممکن است در حین انجام این انتقال به علت نقص امنیتی کلودفلیر به سرقت رفته باشد.
 
داده هایی که به این شکل نشت کرده اند بر روی وب سایت های مشهور یا پرترافیک ارسال نشده و حتی در این صورت به سادگی و توسط افراد عادی قابل مشاهده نیستند. اما برخی از داده های نشت کرده مانند کوکی های حساس، داده های مربوط به ورود به سایت های مختلف، برخی کلیدهای امنیتی و به خصوص کلیدهای رمزگذاری کلودفلیر در صورتی که به دست هکرها بیفتند می توانند مشکلات جدی ایجاد کنند.
 
کارشناسان همچنین هشدار می دهند که این داده های نشت کرده ممکن است در موتور جستجوهایی مانند گوگل و بینگ به طور تصادفی ذخیره شده و به دست افراد ناصالح بیفتند.
 
با توجه به اینکه کلودفلیر زیرساختی بزرگ از داده های اینترنت را به اشتراک می گذارد، درخواست های ارسالی به وب سایت آن به علت همین مشکل قابل هک کردن و دسترسی توسط اشخاص ثالث است. البته این روند محدود به درخواست های ارسالی HTTP است و کاربران سایت های ایمن HTTPS به احتمال زیاد از این آسیب پذیری آسیب ندیده اند، اما کارشناسان امنیتی به کاربران توصیه می کنند برای درامان ماندن از مشکلات احتمالی حتما کلمات عبور خود در سایت های مختلف را تغییر دهند.
 
شرکت کلودفلیر می گوید تنها یک ساعت بعد از اطلاع از وقوع این مشکل وصله ای نرم افزاری را در تمامی سیستم های وابسته به خود به کار گرفته و در عرض هفت ساعت آسیب پذیری یاد شده را برطرف کرده است. این شرکت برای کسب اطمینان از حل مشکل مذکور با گوگل و دیگر موتورهای جستجو در حال همکاری است تا کش ها و دیگر داده هایی که ممکن است برای سرقت اطلاعات مورد سوءاستفاده قرار بگیرند، پاکسازی شوند. لذا دیگر نمی توان از این جستجوگرها برای سرقت اطلاعات خصوصی کاربران سوءاستفاده کرد.
 
متیو پرینس مدیرعامل کلود فلیر می گوید تنها کاربران سایت های HTML باید هم اکنون نگران سرقت اطلاعات حساس خود باشند. تماس با مدیران این سایت ها کماکان ادامه دارد و کلودفلیر معتقد است مشکل مذکور فعلا محدود به 150 مشتری آن است. در عین حال مدیران برخی سایت های اینترنتی اطلاع رسانی به کاربران خود در مورد پیامدهای این مشکل و اقداماتی که باید توسط کاربران برای درامان ماندن از خطرات امنیتی احتمالی صورت بگیرد را آغاز کرده اند.

پرمصرف ترین کلمات رمز اینترنتی ۲۰۱۶/ ۱۰ رمزی که سریع هک می شوند

/در , , , , /توسط
یک شرکت مدیریت کلمه رمز در آمریکا  اعلام کرده در سال ۲۰۱۶ میلادی «۱۲۳۴۵۶» هنوز هم یکی از پرمصرف ترین کلمات رمز در سال گذشته میلادی بوده است.
 به گزارش خبرگزاری مهر به نقل از دیلی میل، شرکت Keeper،  کلمات رمز ۱۰ میلیون نفر از کاربران خود  که طی هک های اطلاعاتی سال گذشته فاش شده بود را بررسی کرد.
 
 از هر ۱۰ کلمه رمز، چهار مورد حاوی شش کاراکتر یا کمتر بودند. به عبارت دیگر نرم افزار و سخت افزارهای هک می توانند  فقط طی چند ثانیه این پسوردها را شناسایی کنند.
 
          
 
 در این میان به نظر می رسد هنوز هم افراد تمایل دارند از کاراکترهای متوالی در کلمات رمز خود استفاده کنند، مانند ۱۲۳۴۵۶، ۱۲۳۴۵۶۷.
 
 کلمات رمزی مانند ۱q۲w۳e۴r نیز وجود داشتند که نشان می دهند برخی کاربران سعی دارند با الگوهایی غیرقابل پیش بینی کلمات رمز ایمن تری خلق کنند.
 
 اما به گفته شرکت مذکور  این تلاش ها چندان ثمربخش نیست. زیرا  برنامه های هک کلمه رمز کاراکترهای متمایز اما متوالی را نیز جستجو می کنند و در نهایت هک آنها فقط چند ثانیه دیرتر انجام می شود.  

از پسوردهای تکراری بپرهیزید

/در , , , /توسط
استفاده از پسوردهای تکراری برای حساب‌های مختلف از جمله بی‌احتیاطی‌هایی است که کاربران مرتکب می‌شوند که گاهی زیان‌های جبران‌ناپذیری نیز در پی خواهد داشت.
 
امنیت آنلاین در سال‌های اخیر تبدیل به یکی از جذاب‌ترین و مهم‌ترین موضوعات شده است. اگرچه با وجود ماجرای ادوارد اسنودن، هک شرکت سونی، فاش شدن ایمیل‌های خصوصی هیلاری کلینتون، رخنه‌هایی که در یاهو منجر به هک شدن حساب کاربران شده بود و دیگر رخنه‌های امنیتی، هنوز هم کاربران امنیت لازم را برای حساب‌های آنلاین خود اجرا نمی‌کنند.
 
افرادی هستند که کلمه‌های عبور خود را با دوستان و اعضای خانواده خود به اشتراک می‌گذارند. اگرچه ممکن است این کار و در اختیار قرار دادن کلمه عبور حساب‌های آنلاین یا شبکه وای-فای به دوستان مورد اعتماد آنچنان هم خطرناک نباشد اما استفاده از پسوردهای تکراری می‌تواند اشتباهی جبران‌ناپذیر محسوب شود.
 
تقریبا تمامی جنبه‌های زندگی ما، دارای برخی اجزای آنلاین هستند و اگر شما به اشتراک‌گذاری کلمه عبور را وارد این آمیزه کنید، تمامی اطلاعات حساس شما به طور مداوم در معرض خطر قرار خواهند گرفت.
 
کارشناسان امنیتی معتقدند تکرار کلمه‌های عبور از بزرگترین اشتباهاتی است که افراد مرتکب می‌شوند. استفاده از رمزهای حساب‌های بانکی برای حساب‌های آنلاین نیز از اشتباهات مشابه است و این تصمیم به ظاهر بی‌ضرر برای به اشتراک گذاشتن کلمه عبور با دوستان می‌تواند موجب زیان‌های میلیونی شود.
 
استفاده از نرم‌افزارهای پسورد منیجر
 
برخی از کاربران نیز ممکن است در به خاطر سپردن کلمه‌های عبور متعدد شبکه‌های اجتماعی و تجربه‌های جدید آنلاین مشکلاتی داشته باشند. یکی از راه‌های جلوگیری از عدم استفاده از پسوردهای تکراری، استفاده از پسورد منیجر است. بنابراین افراد می‌توانند برای جلوگیری از مورد هجوم قرار گرفتن اطلاعات تمامی حساب‌های خود، از مدیریت کلمه عبور یا پسورد منیجر (password manager) استفاده کنند.
 
استفاده از دفترچه‌های کاغذی یا دیجیتالی برای ثبت اطلاعات اعتبارهای مختلف در اینترنت، راه‌هایی ارزان هستند، اما امنیت بالایی ندارند به همین دلیل استفاده از یک برنامه مختص مدیریت کلمه عبور (پسوردمنیجر)، راه‌حل مناسبی به نظر می‌رسد و یاد گرفتن چنین اپلیکیشنی می‌تواند به افراد در سازمان‌دهی و ایمن‌سازی مجموعه‌های اعتباری آنلاین در حال رشد شما کمک کند.
 
روش کار اغلب پسوردمنیجرها به گونه‌ای است که افراد می‌توانند یک کلمه عبور اصلی (مَستر پسورد) برای این برنامه ایجاد کرده و سپس نام کاربری و کلمه عبور مورد نظر خود برای اعتبارهای متعدد را به آن بیفزایند. در طول این فرآیند، برخی از پسوردمنیجرها می‌توانند به صورت خودکار تمامی اطلاعات مربوط به ورود (لاگ‌این) را پیدا کرده و این اطلاعات را وارد بانک اطلاعاتی رمزگذاری خود ‌کنند.
 
از آن پس، وقتی پسوردمنیجر شما مشغول به کار است و وارد سایتی می‌شوید که به اطلاعات ورود (لاگ‌این) نیازمند است، می‌توانید کلمه عبور اصلی خود را وارد کنید. پسوردمنیجر نیز بانک اطلاعاتی خود را جست‌وجو و نام کاربری و کلمه عبور خاص شما را برای آن سایت پر می‌کند. درواقع کافی است شما تنها یک کلمه عبور اصلی را به خاطر داشته باشید تا بتوانید به تمامی کلمه‌های عبوری که در برنامه ذخیره شده است دسترسی پیدا کنید.
 
بسیاری از پسوردمنیجرها نسخه‌هایی برای ویندوز، مک‌ و اندروید دارند. برای اینکه کلمه عبور خود را هرجایی که می‌روید در اختیار داشته باشید، بسیاری از این برنامه‌ها می‌توانند بانک اطلاعاتی مربوط به کلمه عبور را در تمامی دستگاه‌ها و با اتصال ایمن به وب یا تنها با اتصال به شبکه وای‌فای شما هماهنگ (سینک) کنند.
 
البته پسوردمنیجرها هم راه ۱۰۰ درصد مطمئن و قابل اعتمادی نیستند، همان‌طور که اطلاعات آنلاین ذخیره‌شده برای حداقل یک پسوردمنیجر (LastPass) هک شده است. بنابراین ممکن است حتی با وجود اینکه داده‌ها رمزگذاری شده بود، برخی از مردم ترجیح ‌دهند داده‌های کلمه عبور خود را دور از فضای ابری و نزد خود نگهداری کنند. با وجود این واضح است که استفاده از پسوردهای تکراری برای حساب‌های متعدد از لحاظ امنیتی اشتباه است.

یکی از مرسوم‌ترین قوانین درباره امنیت رمزهای عبور غلط از آب درآمد!

/در , , , , , , /توسط
یکی از مرسوم‌ترین قوانین درباره امنیت رمزهای عبور غلط از آب درآمد!

یکی از توصیه‌های مشهوری که احتمالا بارها و بارها شنیده‌اید و بسیاری از افراد در حوزه امنیت به شما گوشزد کرده‌اند، این است که حتما هرچند وقت یک‌بار رمز عبور خود را عوض کنید. اگر شما هم جز افرادی بودید که هرچند وقت یک‌بار رمزهای عبور خود را عوض می‌کردید، باید به شما بگوییم که به‌تازگی تحقیقاتی انجام‌شده که نشان می‌دهد این کار از اساس اشتباه بوده است.

لری کرانر، کارشناس ارشد فدرال که یکی از متخصصان خبره امنیت اطلاعات نیز هست در جریان کنفرانسی اعلام کرد که تعویض مستمر رمزهای عبور برخلاف انتظار، امنیت را کاهش می‌دهد. در واقع وقتی مردم به‌طور مستمر رمزهای عبور خود را تغییر می‌دهند پس از دفعات مجدد از رمزهای عبور گذشته باکمی تغییر استفاده می‌کنند و هکرها نیز از این تغییرات الگویی به دست آورده و به‌راحتی به هک اطلاعات کاربران می‌پردازند.

وی برای اثبات گفته‌های خود به تحقیقی در سال ۲۰۱۰ استناد می‌کند که توسط پژوهشگران دانشگاهی در کالیفرنیا درباره این موضوع انجام‌ شده است. در این تحقیق دیتابیس ۷۷۰۰ اکانت که صاحبانشان به‌طور مداوم رمز عبورشان را تغییر می‌دادند، مورد بررسی قرار گرفته است.

این پژوهشگران با انجام این پژوهش به این نتیجه دست یافتند که درصورتی‌که کاربران مجبور باشند هر ۹۰ روز یک‌بار رمزهای عبور خود را عوض کنند، ناخودآگاه از یک سری الگوی خاص استفاده می‌کنند؛ یعنی آن‌ها تغییراتی کوچک را در رمز عبور قبلی خود اعمال کرده و رمز عبور جدیدی می‌سازند که به نظر امن می‌آید درحالی‌که شکننده و به‌شدت ضعیف است و برای هکرها قابلیت دسترسی را مهیا می‌کند.

هرچند نتایج تحقیقات و پژوهش‌های جدید نشان می‌دهد که یکی از توصیه‌های همیشگی متخصصان امنیت اطلاعات زیر سؤال رفته اما این بدان معنا نیست که به‌هیچ‌وجه نباید رمز عبورتان را تغییر دهید بلکه بدین معناست که دفعات تغییر را کاهش داده و در عوض رمز عبوری را استفاده کنید که با رمزهای عبور قبلی‌تان زمین تا آسمان تفاوت داشته باشد.

نوشته یکی از مرسوم‌ترین قوانین درباره امنیت رمزهای عبور غلط از آب درآمد! اولین بار در - آی‌تی‌رسان پدیدار شد.

تغییر رمز عبور؛ یکی از قوانین قدیمی که اشتباه است

/در , , , /توسط
یکی از مسائلی که هر بار به ما گوشزد شده تغییر رمز عبور حساب کاربری‌مان طی چند ماه یک‌بار است؛ اما به تازگی مشخص شده که این کار نه تنها مفید نیست بلکه احتمال آسیب پذیر شدن امنیت حساب کاربری‌مان را نیز به همراه دارد.
 
محل کار یا دانشگاهتان احتمالا از شما خواسته‌اند که هرچند ماه یک‌بار رمز عبور حساب کاربری‌تان را تغییر دهید تا با خطر هک شدن مواجه نشوید. این پیشنهاد امنیتی است که در حال حاضر می‌شود در سایت‌ها و منابع آموزشی مختلفی آن را مشاهده کرد، هرچند به تازگی مشخص شده که این عمل کاملا اشتباه است.
 
تکنسین ارشد کمیسیون تجارت فدرال، لوری کرینر، هفته گذشته در کنفرانس مربوط با امنیت که در لاس وگاس برگزار شده بود به این موضوع اشاره کرد.
 
به نظر می‌رسد که درخواست مداوم برای تعویض رمز عبور باعث می‌شود کاربر از رمز عبورهای به مراتب ناامن‌تر استفاده کند. علت آن نیز بسیار ساده است، وقتی از کاربران خواسته می‌شود تا رمز عبور خود را تغییر دهند آنها سعی می‌کنند با تغییر بسیار جزئی در رمز عبور قبلی خود یک رمز عبور جدید بسازند.
 
اصولا کاربران در چنین شرایطی حروف کوچک را بزرگ می‌کنند یا سعی می‌کنند به انتهای رمز عبور قبلی یک کاراکتر جدید اضافه کنند. محققان این روش را «دگرگونی» نامیده‌اند و متاسفانه هکرها نیز از این شیوه باخبر هستند.
 
پس به بیانی ساده‌تر، هکرها در صورت داشتن پسورد قبلی شما به صورت پیش‌فرض دگرگونی رمز عبورتان را به روتین هک کردن خود اضافه می‌کنند تا در صورتی که تغییر جزئی به رمز عبور جدید خود داده باشید بتوانند به حساب کاربری‌تان دسترسی پیدا کنند. لوری کرینر در این مورد گفته است:
 
محققان UNC می‌گویند اگر مردم نیاز به تغییر رمز عبور خود در هر ۹۰ روز داشته باشند برای اینکه پسورد خود را فراموش نکنند مجبورند از یک الگو استفاده کنند که ما آن را دگرگونی می‌نامیم. کاربران با اعمال تغییر اندکی به رمز عبور فعلی خود سعی می‌کنند رمز عبور جدیدی بسازند که اصولا هدف از این کار فراموش نکردن رمز عبور است.
گفته‌های کرینر با استناد به تحقیقات سال ۲۰۱۰ سازمان UNC بوده که روی مجموعه داده‌های ۷۷۰۰ حساب کاربری مطالعه شده است. در این تحقیقات، کاربران باید رمز عبور خود را به طور منظم تغییر می‌دادند.
 
متخصص امنیت، بروس اشنایر نیز با گفته‌های کرینر هم عقیده است:
 
من سال‌ها است که می‌گویم این توصیه‌ی بدی بوده و از نظر امنیتی خطر آفرین است و سبب می‌شود تا رمز عبورهای ضعیفی ساخته شوند.
البته در نظر داشته باشید که تغییر رمز کار اشتباهی نیست و در صورتی که احساس می‌کنید امکان دسترسی دیگران به حساب کاربری شما وجود دارد مانند اتفاقی که اطلاعات حساب‌های کاربری لینکداین لو رفت، حتما رمز عبور خود را عوض کرده و یک رمز عبور کاملا جدید بسازید.
 
در نظر داشته باشید استفاده از یک رمز در حساب‌های کاربری مختلف نیز کار نادرستی بوده و سعی کنید رمز عبور حساب کاربری با رمز عبور آدرس ایمیلی که با آن حساب کاربری را ساخته‌اید متفاوت باشد.

پسوردتان را دائم عوض نکنید

/در , , , , , , /توسط

سالها ست که به کاربران شبکه های اجتماعی و تمامی حساب های کاربری دیگر به صورت مداوم تاکید می شود که رمز عبور خود را هر چند ماه یکبار تغییر دهند تا اگر کسی به رمز عبور قبلی دسترسی پیدا کرده است با این کار امنیت حساب کاربری فرد تامین شود. اما در تحقیقی که به تازگی انجام گرفته. بیان شده که این تغییر رمز مداوم کار درستی نیست و بیشتر باعث صدمه زدن به امنیت حساب کاربری شما خواهد شد.

لوری کرینر، تکنسین ارشد کمیسیون تجارت فدرال در یک کنفرانس با موضوع امنیت و مسائل پیرامون آن که  هفته گذشته در لاس وگاس برگزار گردید عنوان داشت که درخواست مداوم از کاربر به منظور تغییر رمز عبور می تواند خطرناک تر از آن چیزی باشد که به نظر می آید زیرا وقتی از یک کاربر خواسته می شود که رمز عبور خود را تعویض نماید، کاربر به رمز عبور خود چند حرف اضافه یا کم میکند و یا گاهی حروف آن را با کوچک یا بزرگ تایپ می نماید.علت اصلی این کار، پیروی از یک الگوی ذهنی خاص به منظور به یاد سپاری بهتر رمز عبور می باشد. به این نوع اعمال تغییرات بر روی رمز عبور اصطلاحا دگرگونی می گویند.

http://www.gooyait.com/1395/05/20/permanent-chan…sword-is-wrong.html

متاسفانه هکر ها این روش را به خوبی بلد هستند و به همین دلیل اگر هکری رمز عبور شما را بداند براحتی با پیاده سازی سیستم دگرگونی قادر خواهد بود مجددا اکانت شما را دردست بگیرد.

بنابراین به نظر می رسد که درخواست تغییر رمز در بازه زمانی کوتاه منجر به تولید رمز های بی کیفیت، نا امن و ساده تر می شود.

تحقیقات کرینر به کمک اسناد سازمان UNC  و تحقیقات این سازمان در سال ۲۰۱۰ انجام شده است.این تحقیقات بر روی ۷۷۰۰ حساب کاربری انجام شده و از کاربران درخواست شده بود به طور مداوم رمز عبور خود را تغییر دهند.

متخصص امنیت، بروس اشنایر نیز با گفته‌های کرینر هم عقیده است:

«من سال‌ها است که می‌گویم این توصیه‌ی بدی بوده و از نظر امنیتی خطر آفرین است و سبب می‌شود تا رمز عبورهای ضعیفی ساخته شوند.»

در پایان لازم است به دو نکته مهم اشاره نمود:

  1. تغییر رمز عبور کار اشتباهی نیست البته به شرط آن که هر بار که احساس خطر نمودید یک پسورد کاملا جدید و با الگویی جدید تولید نمایید.
  2. استفاده از یک رمز عبور مشترک برای تمامی حساب های کاربری کاری اشتباه و ناقض امنیت آن می باشد.