بارها شنیده‌ایم که سایت‌ها و سرویس‌‌های بزرگی هک شده‌اند و رمزعبور کاربران منتشر شده یا به فروش گذاشته شده‌اند. در این مطلب می‌خوانیم که انواع روش‌های ذخیره رمزعبور کدامند و چگونه می‌توانیم از اطلاعاتمان محافظت کنیم.

سایت‌ها و سرویس‌های آنلاین، رمزعبورها را  می‌توانند به چندین روش ذخیره کنند. برخی از روش‌ها بسیار قدرتمند و برخی بسیار ضعیف و آسیب‌پذیر هستند. در ادامه روش‌های رایج ذخیره رمزعبور را مرور می‌کنیم و اینکه هر کدام چه میزان حافظ امنیت اطلاعات ما هستند.

روش‌های ذخیره رمزعبور آنلاین

روش اول رمزعبورهای متنی ساده

چگونه کار می‌کند: ساده‌ترین راهی که یک وب‌سایت برای ذخیره رمزعبور می‌تواند انتخاب کند، به روش متن ساده (Plain Text) است. به این معنی که در پایگاه داده‌اشان یک جدول برای کابران دارند، و نام کاربری و رمزعبور شما در آن به صورتی ذخیره می‌شود که برای انسان قابل خواندن است. برای مثال اگر رمزعبور شما testing123 باشد، در جدول کاربران به صورت testing123 ذخیره می‌شود. هنگامی که اطلاعات ورودتان را در فرم ورود به سایت وارد می‌کنید، آن را با اطلاعات ذخیره شده در پایگاه داده مقایسه می‌کند. تصور کنید اگر پایگاه داده این وب‌سایت هک شود، اطلاعات ورود تمام کاربرانش به سادگی در دسترس فرد نفوذگر قرار می‌گیرد.  این بدترین راه ذخیره رمزعبور آنلاین است. خوشبختانه سایت‌ها و سرویس‌های محبوب از این روش استفاده نمی‌کنند. 

آیا قدرتمند بودن رمزعبور تاثیری دارد؟ اصلا. چه فرقی می‌کند که رمزعبور شما شامل چندین حرف و بسیار قدرتمند باشد؟ تمام رمزعبورها به روش ساده متنی ذخیره می‌شوند. هر چند قدرتمند بودن رمزعبورتان بسیار حائز اهمیت است تا کسی نتواند آن را حدس بزند، اما اگر پایگاه داده وب‌سایت هک شود، قدرتمند بودن یا ضعیف بودن رمزعبور هیچ فرقی نمی‌کند. زیرا با این روش تمام پسوردها قابل خواندن هستند.

روش دوم: رمزنگاری رمزعبور

چگونه کار می‌کند:  برای اضافه کردن یک لایه امنیتی روی رمزعبورها، بیشتر وب‌سایت‌ها رمزعبورها را رمز کرده و سپس آنها را در پایگاه داده ذخیره می‌کنند. رمزنگاری به معنی استفاده از کلید خاصی برای تبدیل رمزعبور به یک رشته متن تصادفی است. اگر شخص نفوذگر یا خرابکار به هر طریقی بتواند وارد پایگاه داده این وب‌سایت شود، با رمزعبورهای رمزشده کاربران نمی‌تواند وارد حساب‌هایشان شود، مگر اینکه کلید رمزنگاری را نیز پیدا کند تا از آن برای رمزگشایی استفاده کند.

اما مشکل در این روش این است که در برخی وب‌سایتها کلید دقیقا در همان سروری ذخیره می‌شود که رمزعبورها در آن هستند. در این حالت اگر هکری به آن سرور نفوذ کند، میتواند هم کلید و هم رمزعبورها را داشته باشد. بنابراین روش رمزنگاری رعبور هم می‌تواند نا امن باشد.

آیا قدرتمند بودن رمزعبور تاثیری دارد؟ نه. اگر هکر به کلید و رمزعبورهای رمز شده دسترسی پیدا کند، ميتواند همه آنها را رمزگشایی کند. بنابراین هیچ فرقی نمی‌کند که در این حالت، رمزعبور شما قوی یا ضعیف باشد. همانطور که در روش اول هم گفتیم، و تکرار می‌کنیم، قدرتمند بودن رمزعبورتان بسیار حائز اهمیت است، تا به سادگی توسط دیگران حدس زده نشود.

روش سوم : رمزعبور هش شده (Hash)

چگونه کار می‌کند: استفاده از الگوریتم هش یا درهم سازی مانند الگوریتم رمزنگاری است به طوری که در این روش هم رمزعبورها به یک رشته طولانی  شامل حرف و عدد تبدیل می‌شوند.  با این حال، برخلاف روش رمزنگاری، این روش مانند یک خیابان یک طرفه است : اگر رمزعبوری را هش کنید، دیگر نمی‌توانید آن را به صورت اولیه بازگردانید. اگر در این حالت هکری بتواند به رمزعبورهای هش شده دسترسی پیدا کند، باید وقت بگذارد و رمزعبورهای مختلف را تست کند تا ببیند کدام کار می‌کند.

اگر چه روش برعکسی برای پیدا کردن رمزعبورهای هش شده وجود دارد. با اینکه هکر‌ها نمي‌توانند رمزعبورهای هش شده را بازیابی کنند، اما می‌توانند رمزعبورهای مختلفی را هش کنند تا به رشته‌ای مشابه رشته هش شده رمزعبور پیدا کرده، برسند. کامپیوترها این کار را سریع انجام می‌دهند; علاوه بر این با وجود جدول rainbow -شامل تریلیون‌ها رمزعبور هش شده و معادل آنها- هکرها می‌توانند به سادگی در این جدول جستجو کنند و رمزعبور اصلی را پیدا کنند. برای نمونه این رشته را در گوگل جستجو کنید: e38ad214943daad1d64c102faec29de4afe9da3d ، به سرعت خواهید فهمید که این رشته هش معادل رمزعبورpassword1 است.

آیا قدرتمند بودن رمزعبور تاثیری دارد؟ بله حتما. هر چقدر رمزعبور شما طولانی و قدرتمند باشد، پیدا کردن معادل هش شده آن سخت خواهد بود. با این حال دقت کنید که در این حالت طولانی بودن رمزعبور شما بسیار مهمتر از پیچیدگی آن است. بنابراین حتما رمزعبورهای بسیار طولانی و پیچیده‌ای انتخاب کنید.

روش چهارم: رمزعبورهای هش شده با نمک (Hash + salt)

چگونه کار می‌کند:  رمزعبورهای هش شده با نمک به معنی این است که یک رشته تصادفی -که به آن نمک می‌گویند- را به ابتدا یا انتهای رمزعبور قبل از هش کردن اضافه می‌کنند. در این حالت برای هر رمز عبور نمک‌های متفاوتی استفاده می‌شود. همچنین اگر نمک‌ها در همان سروری که رمزعبورها قرار دارند ذخیره شود، پیدا کردن آن نمک‌های هش شده آسان نیست. به دلیل اینکه هر کدام از آنها طولانی، پیچیده و منحصر به فرد هستند.

آیا قدرتمند بودن رمزعبور تاثیری دارد؟ قطعا. هر چند به نقطه‌ای رسیدیم که برخی کامپیوترها می‌توانند از طریق Brute Force به نمک‌های هش شده هم برسند. اما این زمان بر خواهد بود. بنابراین هر چه رمزعبور شما طولانی‌تر و پیچیده‌تر باشد، کامپیوترها آن را دیرتر پیدا می‌کنند.

روش پنجم: هش سنگین یا کند – Slow Hash

چگونه کار می‌کند: در حال حاضر بیشتر کارشناسان امنیتی، استفاده از هش کند را بهترین راه ذخیره رمزعبور می‌دانند. الگوریتم‌های هش MD5 ، SHA-1 و SHA-256 هر سه سریع هستند. در حمله Brut Force، زمان یک فاکتور بسیار مهم است. با استفاده از هش کند مانند الگوریتم bcrypt، حمله Brut Force نیاز به زمان بسیار بسیار طولانی‌ای دارد; زیرا برای هر رمزعبور زمان طولانی صرف محاسبه می‌شود.

آیا قدرتمند بودن رمزعبور تاثیری دارد؟ بدون هیچ شکی بله. اگر رمزعبور شما طولانی و پیچیده باشد و از روش هش کند برای ذخیره آن استفاده شده باشد، زمان بسیار بسیار طولانی نیاز است تا به آن برسند.

چه کارهایی برای حفاظت از رمزعبورهایمان انجام دهیم؟

شما کنترلی روی انتخاب نوع ذخیره رمزعبور سرویس‌ها و سایتها ندارید، اما شما هستید که انتخاب می‌کنید در کدام سایت یا سرویس عضو شوید. قبل از عضویت حتما سیاست‌های امنیتی و FAQ سایتها و سرویس های آنلاین را مطالعه کنید. اگر اطلاعاتی را که لازم دارید در آنها بدست نیاوردید به پشتیبانی آن وب‌سایت ایمیل بزنید و از آنها جویا شوید. یکی از راههای ساده در وب‌سایتهایی که عضو آنها هستید، استفاده از گزینه فراموش کردن رمز عبور است. اگر روی این لینک کلیک کنید و وب‌سایت رمزعبور شما را به صورت متنی برایتان ارسال کند، به این معنی است که رمزعبور هش نشده است. در نتیجه اطلاعات شما در معرض خطر جدی هستند.

فراموش نکنید همیشه رمزعبورهای پیچیده و طولانی بسازید و در فاصله‌های زمانی رمزعبورهای خود را تغییر دهید. همچنین برای هر حساب کاربری یک رمزعبور منحصر به فرد داشته باشید. اگر گزینه احراز هویت دو عامله وجود دارد، حتما از آن بهره ببرید.

منبع